n8n修復漏洞:防止單一登入提供者冒充其他提供者的使用者
CVE-2026-59208被評為高危險等級(CVSS 7.6),該漏洞導致n8n僅憑JWT的主體值比對使用者,而從不驗證其發行者。
- 該瑕疵影響了任何啟用權杖交換並設定多個受信任發行者的n8n執行個體。
- 漏洞於2026年6月24日揭露後,已在發布的2.28.1和2.27.4版本中修復。
- 研究人員bearsyankees回報了此錯誤;在套用修補程式前,唯一的緩解措施是採用單一發行者設定。
為什麼重要: 登入系統若只檢查聲明內容而不確認來源,便無法分辨盟友與冒名頂替者。
n8n Security Advisory GHSA-mq3m-f8x3-579w (GitHub) ↗ · 2026年7月15日26/7/15 · ✓ 已查證✓