n8n修复漏洞:阻止某一登录提供商冒充其他提供商的用户
CVE-2026-59208被评为高危漏洞(CVSS 7.6),该漏洞导致n8n仅通过JWT的主题值匹配用户,而从不验证其签发者。
- 该缺陷影响了任何启用了令牌交换并配置了多个受信任签发者的n8n实例。
- 漏洞于2026年6月24日披露后,已在发布的2.28.1和2.27.4版本中修复。
- 研究员bearsyankees报告了该漏洞;在打补丁之前,唯一的缓解措施是仅配置单个签发者。
为什么重要: 如果登录系统只检查声明内容而不核实来源,就无法分辨真伪。
n8n Security Advisory GHSA-mq3m-f8x3-579w (GitHub) ↗ · 2026年7月15日26/7/15 · ✓ 已核实✓