CVE-2026-42227

Nome do Software Vulnerável e Versões Afetadas n8n versões anteriores a 1.123.32 n8n versões anteriores a 2.17.4 n8n versões anteriores a 2.18.1

Descrição Um usuário autenticado com uma chave de API válida com escopo para variable:list pode ler variáveis de projetos dos quais não é membro. Isso ocorre ao fornecer um parâmetro de consulta projectId arbitrário para o endpoint público de variáveis da API. O manipulador consulta o repositório de variáveis diretamente, ignorando a camada de serviço consciente de autorização usada pelo controlador empresarial interno e falhando em impor verificações de associação ao projeto. Este problema afeta especificamente implantações licenciadas de empresa ou equipe com múltiplos projetos e o recurso de variáveis habilitado.

Recomendações Atualize para a versão 1.123.32. Atualize para a versão 2.17.4. Atualize para a versão 2.18.1. Rotacione imediatamente quaisquer credenciais ou tokens caso tenham sido armazenados como variáveis e potencialmente expostos.