exploitDog

CVE-2026-25056

Опубликовано: 04 фев. 2026

Источник: nvd

CVSS3: 8.8

EPSS Низкий

Описание

n8n is an open source workflow automation platform. Prior to versions 1.118.0 and 2.4.0, a vulnerability in the Merge node's SQL Query mode allowed authenticated users with permission to create or modify workflows to write arbitrary files to the n8n server's filesystem potentially leading to remote code execution. This issue has been patched in versions 1.118.0 and 2.4.0.

Ссылки

https://github.com/n8n-io/n8n/security/advisories/GHSA-hv53-3329-vmrm
Patch
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:n8n:n8n:*:*:*:*:*:node.js:*:*

Версия до 1.118.0 (исключая)

cpe:2.3:a:n8n:n8n:*:*:*:*:*:node.js:*:*

Версия от 2.0.0 (включая) до 2.4.0 (исключая)

EPSS

Процентиль: 33%

0.00128

Низкий

8.8 High

CVSS3

Дефекты

CWE-434

Связанные уязвимости

GHSA-hv53-3329-vmrm

github

3 дня назад

n8n Merge Node has Arbitrary File Write leading to RCE

EPSS

Процентиль: 33%

0.00128

Низкий

8.8 High

CVSS3

Дефекты

CWE-434