n8n is an open source workflow automation platform. Prior to versions 2.6.4 and 1.123.23, an authenticated user without permission to list external secrets could reference a secret by the external name in a credential and retrieve its plaintext value when saving the credential. This bypassed the `externalSecret:list` permission check and allowed access to secrets stored in connected vaults without admin or owner privileges. This issue requires the instance to have an external secrets vault configured. The attacker must know or be able to guess the name of a target secret. The issue has been fixed in n8n versions 1.123.23 and 2.6.4. Users should upgrade to one of these versions or later to remediate the vulnerability. If upgrading is not immediately possible, administrators should consider the following temporary mitigations: Restrict n8n access to fully trusted users only, and/or disable external secrets integration until the patch can be applied. These workarounds do not fully remediate the risk and should only be used as short-term mitigation measures.
n8n workflow automation platform versions prior to 2.6.4 and 1.123.23 allow authenticated users to bypass permission checks and retrieve plaintext values of external secrets from connected vaults. This vulnerability requires knowledge of secret names and access to an instance with external secrets vault configured.
تسمح الثغرة للمستخدمين المصرحين بدون صلاحيات قائمة الأسرار الخارجية بالوصول إلى قيم الأسرار بصيغة نصية عادية من خزانات متصلة. يتطلب الهجوم معرفة أسماء الأسرار المستهدفة وتكوين خزان أسرار خارجي على المثيل. تم إصلاح المشكلة في الإصدارات 1.123.23 و 2.6.4 وما بعده.
منصة أتمتة سير العمل n8n في الإصدارات السابقة للإصدار 2.6.4 و 1.123.23 تسمح للمستخدمين المصرحين بتجاوز فحوصات الأذونات واسترجاع قيم الأسرار الخارجية بصيغة نصية عادية. يتطلب هذا الثغرة معرفة أسماء الأسرار والوصول إلى مثيل به خزان أسرار خارجي مكون.
Upgrade n8n to version 2.6.4, 1.123.23 or later immediately. As temporary mitigation, restrict n8n access to fully trusted users only and disable external secrets vault integration until patching is completed. Review audit logs for unauthorized secret access attempts.
قم بترقية n8n إلى الإصدار 2.6.4 أو 1.123.23 أو أحدث فوراً. كإجراء مؤقت، قيد الوصول إلى n8n للمستخدمين الموثوقين فقط وعطل تكامل خزان الأسرار الخارجية حتى اكتمال التصحيح. راجع سجلات التدقيق لمحاولات الوصول غير المصرح للأسرار.