n8n 跨发行商账户接管漏洞曝光

CVE-2026-59208: Cross-Issuer Account Takeover in n8n

8bearsyankees💬 0
n8n 跨发行商账户接管漏洞曝光

Strix 团队在 n8n 中发现了一个高危漏洞 CVE-2026-59208。n8n 在验证 JWT 令牌时能正确核对发行商,但在将令牌映射到本地账户时,却只依赖 sub 字段而忽略了发行商信息。这意味着,只要攻击者从另一个受信任的发行商获取到相同 sub 值的令牌,就能直接接管受害者的账户。这个漏洞让不同发行商的令牌在身份解析时发生碰撞,导致工作流、凭证和数据面临被窃取的风险。n8n 已通过更新修复了该问题,建议多发行商用户立即升级。

"n8n 在验证令牌时信任是谁签发的,但在决定你是谁时却忘记了是谁签发的。"

同日更多故事 · 2026-07-15