n8nİş akışı otomasyon platformu, giriş sırasında yanlış hesapları dağıttı. Birden fazla harici belirteç veren kuruluşa güvenecek şekilde yapılandırılmış Kurumsal örneklerde, gelen bir JWT'yi yerel bir kullanıcıyla eşleştirdi. sub tek başına iddia et ve göz ardı et iss.
A ihraççısından geçerli bir jeton taşıyan sub bu, veren B'nin altındaki birine ait, o kişi olarak oturum açmışsınız. Şifreleri asla içeri girmedi. n8n düzeltmeyi 24 Haziran'da gönderdi.
Kusur şu şekilde izlenir: CVE-2026-59208. CVE kaydı 9 Temmuz'a kadar kamuoyuna açıklanmadı. rapora itibar ediliyor GitHub hesabınaayılaryankeesProfilinde AI penetrasyon testi aracısı olan Strix listeleniyor.
Strix says temsilcinin token değişimi akışında olduğunu ve kimlik bağlama hatasını orada bulduğunu belirtti.
İki ihraççı, bir hesap
Token değişimi n8n'nin Kurumsal rotasıdır Ürünü yerleştiren OEM iş ortakları, BİR RFC 8693 uygulaması Bu, kullanıcılarına ikinci bir giriş ekranı kazandırır.
İş ortağı, kendi anahtarıyla kısa ömürlü bir JWT imzalar, n8n bunu yapılandırılmış bir genel anahtara göre doğrular, talepleri yerel bir hesapla eşleştirir ve kullanıcı içeri girer. Güvenilir anahtarlar içeri girerN8N_TOKEN_EXCHANGE_TRUSTED_KEYSve dağıtım belgeleri özelliği yine de önizleme olarak etiketleyin.
Belirtecin kendisi kontrol edilir. Hata eşleşmedir. A sub değerin yalnızca onu basan kuruluş içinde benzersiz olacağı garanti edilir. RFC7519 "ihraç edenin bağlamında yerel olarak benzersiz olacak şekilde kapsamının belirlenmesini" veya küresel olarak benzersiz olmasını ister. Bu nedenle bir kullanıcının tanımlayıcısı çift, iss artı sub.
n8n bunun yarısını tuşladı. Hiçbir şey iki yayıncının aynı konu dizesini yayınlamasını engelleyemez ve bunu yaptıklarında her ikisi de tek bir n8n hesabına bağlanır.
Bu ne kadar büyük bir olay
Kusur, bir örneğe yalnızca belirteç değişiminin açık olması ve yapılandırmanın en az iki harici ihraççıya güvenmesi durumunda ulaşır. n8n diyor başka hiçbir şey etkilenmez. Token değişimi yalnızca Kurumsaldır ve hâlâ bir önizleme olarak işaretlenmiştir, dolayısıyla açığa çıkan küme küçük ve spesifiktir: İkinci bir veren kuruluşa güvenmenin desteklenen bir yapılandırma olduğu OEM dağıtımları.
Tavsiye belgesinde belirtilmeyen şey, bir saldırganın jetonu nasıl elde ettiğidir. Sadece bir tane alabileceklerini söylüyor. Pratik soru, güvenilir bir ihraççıdaki sıradan bir kullanıcının, sub alıyorlar. Kamu kayıtları buna cevap vermiyor. GitHub'ın CVSS 4.0 vektörü, saldırı gereksinimlerini mevcut olarak işaretler ve burada durur.
GitHub bu vektörü atadı. CNA olarak burada şunu belirtiyoruz: CVE-2026-59208 CVSS 4.0'da 7.6, yüksek. NVD aynı hatayı CVSS 3.1 orta sürümünde 6.8'e koyuyor ve hiçbir şekilde 4.0 değerlendirmesi yayınlamadı; rekoru taşıyor CWE-287 Ve CWE-346. CISA'nın 13 Temmuz'daki SSVC değerlendirmesinde istismar yok olarak belirtiliyor ve The Hacker News, 16 Temmuz'daki aramalarda kamuya açık hiçbir kavram kanıtı bulamadı.
24 Haziran düzeltmesinden iki hafta önce bakımcılar yama uyguladı CVE-2026-54305, yalnızca Enterprise'a özgü başka bir kusur. Kimliği doğrulanmış herhangi bir kullanıcının, Dinamik Kimlik Bilgileri uç noktaları aracılığıyla başka bir kullanıcının depolanan OAuth belirteçlerinin üzerine yazmasına veya bunları iptal etmesine olanak tanır. Bu eksik sahiplik kontrolüydü, kimlik bağlayıcılığı değil. Farklı böcek, aynı yüzey.
Hacker News, kapsamı ve etkisi konusunda onay almak için n8n'ye ulaştı. CVE-2026-59208 ve bu hikayeyi herhangi bir yanıtla güncelleyeceğiz.
Verici listesini yamalayın veya kesin
CVE-2026-59208 2.27.4'ün altındaki tüm n8n sürümlerini ve 2.28.0 sürümünü etkiler. Düzeltme ilk olarak 2.27.4 ve 2.28.1'de ortaya çıktı. Bunlar zemin. 16 Temmuz'da n8n'in npm paketi her ikisinde de 2.30.6 taşıyordu.latest Ve stable Etiketler. Çoğu hafta kendi hesabıyla yeni bir küçük sürüm gönderir, bu nedenle etiketi kontrol edin ve dağıtımınızın desteklediği en yeni kararlı yapıyı alın.
Yama uygulamasının beklemesi gerekiyorsa ne çalıştırdığınızı hesaplayın: N8N_TOKEN_EXCHANGE_TRUSTED_KEYS güvenilir imzalama anahtarlarını tutar ve ayrı bir önizleme bayrağı, jeton değişiminin açık olup olmadığını kontrol eder. Tek bir güvenilir ihraççıya geri dönün veya özelliği kapatın.
Tavsiye, her iki kısa vadeli önlemi de çağırıyor ve hiçbirinin riski tam olarak ortadan kaldırmadığını söylüyor. Bu, 10 Haziran'daki uyarı da dahil olmak üzere diğer en az üç n8n tavsiyesinde de aynı olan ortak metindir. N8n'in kendi kapsam bildirimine göre, token değişiminin kapalı olduğu bir örnek etkilenmez.
Her iki sürüm notunda da düzeltmeden bahsedilmiyor. Hacker News her ikisini de kontrol etti: aralarında 2.27.4 ve 2.28.1 değişiklikler Python içe aktarma düzeltmesini, Google Ads düğüm yükseltmesini, yapay zeka iş akışı kontrolünü ve düğüm oluşturma değişikliğini kapsar ve kimlikle ilgili hiçbir şey içermez.
Danışmanlık bu kişinin yaşadığı yerdir. Yükseltme kararlarınız değişiklik günlüklerine göre yürütülüyorsa, bu, gözden kaçan türden bir düzeltmedir.

