Sourced News

Atom Brief

ср, 15 июл. 2026 г. · 64 историй · Подтверждено · Подписаться
БЕЗОПАСНОСТЬ

В n8n исправили ошибку, позволявшую одному провайдеру входа подменять пользователя другого

Уязвимость CVE-2026-59208 с высоким уровнем опасности (CVSS 7.6) позволяла n8n сопоставлять пользователей только по значению subject в JWT и игнорировать издателя.

  • Ошибка затрагивала любые инстансы n8n с включенным обменом токенов и несколькими доверенными издателями.
  • Исправлено в версиях 2.28.1 и 2.27.4, выпущенных после раскрытия информации 24 июня 2026 года.
  • Исследователь bearsyankees сообщил об ошибке, до выхода патча единственным способом защиты была настройка с одним издателем.

Почему это важно: Система авторизации, проверяющая заявку, но не ее источник, не может отличить союзника от самозванца.

n8n Security Advisory GHSA-mq3m-f8x3-579w (GitHub) ↗ · 15 июл. 2026 г.15.07.26 · ✓ Проверено

Присоединяйтесь к сообществу.

Каждая статья сверяется с первоисточниками.