n8n — это платформа автоматизации рабочих процессов с открытым исходным кодом. До версий 1.123.18 и 2.5.0 уязвимость в средствах управления доступом к файлам позволяла аутентифицированным пользователям с разрешением создавать или изменять рабочие процессы для чтения конфиденциальных файлов из хост-системы n8n. Это можно использовать для получения критически важных данных конфигурации и учетных данных пользователя, что приведет к полному захвату учетной записи любого пользователя на экземпляре.
Эта проблема исправлена в версиях 1.123.18 и 2.5.0.
Показать оригинальное описание (EN)
n8n is an open source workflow automation platform. Prior to versions 1.123.18 and 2.5.0, a vulnerability in the file access controls allows authenticated users with permission to create or modify workflows to read sensitive files from the n8n host system. This can be exploited to obtain critical configuration data and user credentials, leading to complete account takeover of any user on the instance. This issue has been patched in versions 1.123.18 and 2.5.0.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
Затронутые конфигурации ПО 2
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
N8n N8n
cpe:2.3:a:n8n:n8n:*:*:*:*:*:node.js:*:*
|
— |
1.123.18
|
|
N8n N8n
cpe:2.3:a:n8n:n8n:*:*:*:*:*:node.js:*:*
|
2.0.0
|
2.5.0
|