🔄 Вразливість в n8n дозволяє вхід під чужими акаунтами
У платформі автоматизації n8n виявлено вразливість CVE-2026-59208 із оцінкою 7.6 CVSS у механізмі обміну токенами безпеки. На корпоративних серверах, що довіряють двом чи більше зовнішнім емітентам токенів, система ідентифікувала користувача лише за параметром «sub», повністю ігноруючи перевірку поля «iss». Це дозволяє зловмиснику з правильним токеном від одного постачальника успішно увійти в акаунт іншого користувача без знання пароля.
Проблема зачіпає версії n8n нижче 2.27.4 та 2.28.0. Патчі вже випущені розробниками у версіях 2.27.4 і 2.28.1. Тимчасовими технічними заходами є вимкнення функції Token Exchange або обмеження списку довірених емітентів до одного. Випадків реального використання вразливості в кібератаках на момент публікації не зафіксовано.
