PT-2026-40934 · N8N · N8N
Simonkoeck
·
Publicado
2026-05-14
·
Atualizado
2026-06-30
·
CVE-2026-44790
CVSS v4.0
9.4
Crítica
| Vetor | AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H |
Nome do Software Vulnerável e Versões Afetadas
n8n versões anteriores a 1.123.43
n8n versões anteriores a 2.20.7
n8n versões anteriores a 2.22.1
Description
Um usuário autenticado com permissões para criar ou modificar fluxos de trabalho pode injetar flags de CLI durante a operação Push do nó Git. Isso permite que o invasor leia arquivos arbitrários do servidor, o que pode levar ao comprometimento total do sistema e à execução remota de código (RCE) no nível do servidor ao quebrar sandboxes.
Recommendations
Atualize para a versão 1.123.43 ou posterior.
Atualize para a versão 2.20.7 ou posterior.
Atualize para a versão 2.22.1 ou posterior.
Limite as permissões de criação e edição de fluxos de trabalho apenas a usuários totalmente confiáveis.
Desative o nó Git adicionando
n8n-nodes-base.git à variável de ambiente NODES EXCLUDE.Exploit
Correção
RCE
Argument Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
N8N