工作流自动化平台n8n的企业版被曝出一个身份验证绕过漏洞。当实例配置为信任多个外部令牌发行者时,系统仅根据JWT中的sub(主题)声明来匹配本地用户,完全无视iss(发行者)字段。这意味着,拿发行者A签发的有效令牌,只要sub值恰好与发行者B下的某一用户相同,就能直接以该用户身份登录,全程无需密码。
该漏洞编号为CVE-2026-59208,仅影响开启了令牌交换功能且信任至少两个外部发行者的情况。这一令牌交换机制是n8n为OEM合作伙伴提供的企业版路线,旨在避免用户二次登录。合作伙伴用自己的密钥签发短效JWT,n8n验证后按声明匹配本地账户。然而,漏洞就出在匹配逻辑上:唯一标识用户的应当是iss加sub的组合,而n8n只用了一半。
![]()
n8n已于6月24日发布修复。CVE记录直到7月9日才公开。问题由GitHub账户bearsyankees报告,其资料显示来自Strix公司。Strix表示,他们的AI渗透测试智能体在令牌交换流程中发现了这个身份绑定缺陷。由于令牌交换功能仍标注为预览状态,受影响的部署范围很小,主要针对那些确实配置了第二个发行者的OEM场景。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.