Platforma automatyzacji przepływów pracy n8n posiadała lukę bezpieczeństwa, która w konfiguracjach Enterprise zaufanych wielu zewnętrznym wydawcom tokenów pozwalała na zalogowanie się jako inny użytkownik, bazując jedynie na identyfikatorze ‘sub’ z JWT, ignorując pole ‘iss’. Błąd, śledzony jako CVE-2026-59208, pozwalał na podszywanie się pod użytkowników bez znajomości ich haseł i został naprawiony 24 czerwca.
Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐ (7/10)