n8n — это платформа автоматизации рабочих процессов с открытым исходным кодом. До версий 1.123.10 и 2.5.0 уязвимости в узле Git позволяли аутентифицированным пользователям с разрешением создавать или изменять рабочие процессы для выполнения произвольных системных команд или чтения произвольных файлов на хосте n8n. Эта проблема исправлена в версиях 1.123.10 и 2.5.0.
Показать оригинальное описание (английский)
n8n is an open source workflow automation platform. Prior to versions 1.123.10 and 2.5.0, vulnerabilities in the Git node allowed authenticated users with permission to create or modify workflows to execute arbitrary system commands or read arbitrary files on the n8n host. This issue has been patched in versions 1.123.10 and 2.5.0.
Матрица атаки
Вектор атаки
По сети
Атака по сети
Сложность атаки
Низкая
Легко эксплуатировать
Требуемые привилегии
Низкие
Нужны базовые права
Взаимодействие с пользователем
Не требуется
Не нужно действие пользователя
СТРОКА CVSS ВЕКТОРА
CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
Тип уязвимости (CWE)
Уязвимые продукты
n8n:n8n
Известные затронутые конфигурации ПО
| Конфигурация | От (включительно) | До (не включая) |
|---|---|---|
|
cpe:2.3:a:n8n:n8n:*:*:*:*:*:node.js:*:*
N8n:N8n
|
- | 1.123.0 |
|
cpe:2.3:a:n8n:n8n:*:*:*:*:*:node.js:*:*
N8n:N8n
|
2.0.0 | 2.5.0 |