n8n — это платформа автоматизации рабочих процессов с открытым исходным кодом. До версий 1.118.0 и 2.4.0 уязвимость в режиме SQL-запроса узла слияния позволяла аутентифицированным пользователям с разрешением создавать или изменять рабочие процессы для записи произвольных файлов в файловую систему сервера n8n, что потенциально приводило к удаленному выполнению кода. Эта проблема исправлена в версиях 1.118.0 и 2.4.0.
Показать оригинальное описание (английский)
n8n is an open source workflow automation platform. Prior to versions 1.118.0 and 2.4.0, a vulnerability in the Merge node's SQL Query mode allowed authenticated users with permission to create or modify workflows to write arbitrary files to the n8n server's filesystem potentially leading to remote code execution. This issue has been patched in versions 1.118.0 and 2.4.0.
Матрица атаки
СТРОКА CVSS ВЕКТОРА
CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
Тип уязвимости (CWE)
Уязвимые продукты
Известные затронутые конфигурации ПО
| Конфигурация | От (включительно) | До (не включая) |
|---|---|---|
|
cpe:2.3:a:n8n:n8n:*:*:*:*:*:node.js:*:*
N8n:N8n
|
- | 1.118.0 |
|
cpe:2.3:a:n8n:n8n:*:*:*:*:*:node.js:*:*
N8n:N8n
|
2.0.0 | 2.4.0 |