В n8n исправили ошибку, позволявшую одному провайдеру входа подменять пользователя другого
Уязвимость CVE-2026-59208 с высоким уровнем опасности (CVSS 7.6) позволяла n8n сопоставлять пользователей только по значению subject в JWT и игнорировать издателя.
- Ошибка затрагивала любые инстансы n8n с включенным обменом токенов и несколькими доверенными издателями.
- Исправлено в версиях 2.28.1 и 2.27.4, выпущенных после раскрытия информации 24 июня 2026 года.
- Исследователь bearsyankees сообщил об ошибке, до выхода патча единственным способом защиты была настройка с одним издателем.
Почему это важно: Система авторизации, проверяющая заявку, но не ее источник, не может отличить союзника от самозванца.
n8n Security Advisory GHSA-mq3m-f8x3-579w (GitHub) ↗ · 15 июл. 2026 г.15.07.26 · ✓ Проверено✓