PT-2026-56442 · N8N · N8N
34Selen
·
Publicado
2026-07-08
·
Atualizado
2026-07-08
·
CVE-2026-56776
CVSS v3.1
7.4
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:L |
Nome do Software Vulnerável e Versões Afetadas
n8n versões anteriores a 1.123.55
n8n versões anteriores a 2.25.7
n8n versões anteriores a 2.26.2
Description
Existe uma falha de bypass de autorização no recurso de Avaliações dentro do endpoint 'POST /workflows/{workflowId}/test-runs/new'. O sistema autoriza incorretamente o acesso utilizando o escopo
workflow:read em vez do escopo workflow:execute exigido. Este controle de acesso quebrado permite que um usuário autenticado com funções de projeto RBAC (Controle de Acesso Baseado em Função) de apenas leitura acione uma execução de teste de avaliação real. Tal ação faz com que o fluxo de trabalho seja executado via executor interno, podendo resultar em chamadas de API externas não autorizadas, mutações de dados ou outros efeitos colaterais em sistemas downstream conectados.Recommendations
No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.
Incorrect Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
N8N