n8n — это платформа автоматизации рабочих процессов с открытым исходным кодом. Начиная с версии 1.65.0 и до версии 1.114.3, использование Buffer.allocUnsafe() и Buffer.allocUnsafeSlow() в средстве запуска задач позволяло ненадежному коду выделять неинициализированную память. Такие неинициализированные буферы могут содержать остаточные данные из одного и того же процесса Node.js (например, данные предыдущих запросов, задач, секретов или токенов), что может привести к раскрытию информации. Эта проблема исправлена в версии 1.114.3.
Показать оригинальное описание (английский)
n8n is an open source workflow automation platform. From version 1.65.0 to before 1.114.3, the use of Buffer.allocUnsafe() and Buffer.allocUnsafeSlow() in the task runner allowed untrusted code to allocate uninitialized memory. Such uninitialized buffers could contain residual data from within the same Node.js process (for example, data from prior requests, tasks, secrets, or tokens), resulting in potential information disclosure. This issue has been patched in version 1.114.3.
Матрица атаки
СТРОКА CVSS ВЕКТОРА
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N