CVE-2026-42226

Nome do Software Vulnerável e Versões Afetadas n8n versões anteriores a 1.123.33 n8n versões anteriores a 2.17.5

Descrição Um problema nos endpoints 'dynamic-node-parameters' permite que um usuário autenticado com acesso a um fluxo de trabalho compartilhado forneça um ID de credencial externo no corpo da requisição. Como o sistema não verifica se o chamador está autorizado a usar a referência de credencial fornecida, o backend descriptografa e usa essa credencial em um caminho de execução auxiliar onde o chamador também controla a URL de destino. Isso permite que o chamador force o backend a se autenticar em uma infraestrutura controlada por um invasor usando uma credencial pertencente a outro usuário, resultando na exfiltração de chaves de API reutilizáveis. Este problema afeta qualquer nó que resolva credenciais dinamicamente através desses endpoints.

Recomendações Atualize para a versão 1.123.33 ou superior. Atualize para a versão 2.17.5 ou superior.