n8n — это платформа автоматизации рабочих процессов с открытым исходным кодом. До версий 1.123.18 и 2.5.0 уязвимость в средствах управления доступом к файлам позволяла аутентифицированным пользователям с разрешением создавать или изменять рабочие процессы для чтения конфиденциальных файлов из хост-системы n8n. Это можно использовать для получения критически важных данных конфигурации и учетных данных пользователя, что приведет к полному захвату учетной записи любого пользователя на экземпляре. Эта проблема исправлена в версиях 1.123.18 и 2.5.0.
Показать оригинальное описание (английский)
n8n is an open source workflow automation platform. Prior to versions 1.123.18 and 2.5.0, a vulnerability in the file access controls allows authenticated users with permission to create or modify workflows to read sensitive files from the n8n host system. This can be exploited to obtain critical configuration data and user credentials, leading to complete account takeover of any user on the instance. This issue has been patched in versions 1.123.18 and 2.5.0.
Матрица атаки
СТРОКА CVSS ВЕКТОРА
CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
Тип уязвимости (CWE)
Уязвимые продукты
Известные затронутые конфигурации ПО
| Конфигурация | От (включительно) | До (не включая) |
|---|---|---|
|
cpe:2.3:a:n8n:n8n:*:*:*:*:*:node.js:*:*
N8n:N8n
|
- | 1.123.18 |
|
cpe:2.3:a:n8n:n8n:*:*:*:*:*:node.js:*:*
N8n:N8n
|
2.0.0 | 2.5.0 |