n8n is an open source workflow automation platform. Prior to versions 1.123.32, 2.17.4, and 2.18.1, an authenticated user with a valid API key scoped to variable:list could read variables from projects they are not a member of by supplying an arbitrary projectId query parameter to the public API variables endpoint. The handler queried the variables repository directly without enforcing project membership checks, bypassing the authorization-aware service layer used by the internal enterprise controller. If variables were misused to store sensitive information such as credentials or tokens, they should be rotated immediately. This issue only affects licensed enterprise or team deployments with multiple projects and the variables feature enabled. This issue has been patched in versions 1.123.32, 2.17.4, and 2.18.1.
n8n workflow automation platform contains an authorization bypass vulnerability allowing authenticated users with variable:list API scope to read variables from projects they don't have access to by manipulating projectId parameters. This affects only enterprise/team deployments with multiple projects where sensitive data like credentials may be stored in variables.
ثغرة في منصة n8n لأتمتة سير العمل تسمح للمستخدمين المصرحين بقراءة متغيرات المشاريع التي لا ينتمون إليها من خلال تزويد معرف مشروع عشوائي. المشكلة تنشأ من عدم فرض فحوصات عضوية المشروع في معالج API العام. يؤثر هذا على نشرات المؤسسات والفريق فقط حيث قد تحتوي المتغيرات على بيانات حساسة مثل بيانات الاعتماد والرموز.
منصة أتمتة سير العمل n8n تحتوي على ثغرة تجاوز التفويض تسمح للمستخدمين المصرحين بنطاق variable:list بقراءة المتغيرات من مشاريع لا يملكون حق الوصول إليها. يؤثر هذا فقط على نشرات المؤسسات والفريق التي تحتوي على عدة مشاريع حيث قد يتم تخزين بيانات حساسة.
Upgrade n8n to versions 1.123.32, 2.17.4, or 2.18.1 or later immediately. Review and rotate any sensitive credentials or tokens stored in variables. Audit API key usage and variable access logs for unauthorized access. Implement stricter project membership validation in API endpoints.
قم بترقية n8n إلى الإصدارات 1.123.32 أو 2.17.4 أو 2.18.1 أو أحدث فوراً. راجع وأعد تعيين أي بيانات اعتماد أو رموز حساسة مخزنة في المتغيرات. قم بتدقيق استخدام مفاتيح API وسجلات الوصول للمتغيرات للكشف عن الوصول غير المصرح. طبق التحقق الأكثر صرامة من عضوية المشروع في نقاط نهاية API.