PT-2026-56448 · N8N · N8N
Publicado
2026-07-08
·
Atualizado
2026-07-08
·
CVE-2026-59257
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
n8n versões anteriores a 1.123.61
n8n versões anteriores a 2.27.4
n8n versões 2.28.0 a 2.28.0
Description
Um problema de injeção de SQL existe no nó legado MySQL v1 durante a operação
executeQuery. O sistema substitui valores de expressões {{ ... }} avaliados diretamente na string SQL bruta sem utilizar parametrização. Se um fluxo de trabalho utilizar esta operação com valores originados de expressões e estiver conectado a um gatilho acessível externamente, como um nó de Webhook, um invasor pode fornecer entradas maliciosas para executar comandos SQL arbitrários usando os privilégios das credenciais MySQL configuradas.Recommendations
Atualize para a versão 1.123.61 ou posterior.
Atualize para a versão 2.27.4 ou posterior.
Atualize para a versão 2.28.1 ou posterior.
Como mitigação temporária, evite usar a operação
executeQuery no nó legado MySQL v1 ou restrinja o uso de valores originados de expressões nessa operação.Correção
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
N8N