CVE-2026-54310
n8n: SQL Injection in Postgres v1/TimesclaeDB Nodes
Em resumo
A plataforma n8n de automação de fluxos permite que usuários autenticados injetem e executem comandos SQL arbitrários por meio de parâmetros manipulados nos nós TimescaleDB e Postgres v1, podendo comprometer o banco de dados conectado.
Detalhe técnico
Vulnerabilidade de injeção SQL nos nós TimescaleDB e Postgres v1 do n8n explorável por criadores/modificadores de fluxos autenticados através de entrada de parâmetros não sanitizada; execução limitada aos privilégios da conta de banco de dados configurada; corrigida nas versões 2.25.7 e 2.26.2.
Resumo gerado e traduzido por IA a partir da descrição oficial.
n8n is an open source workflow automation platform. Prior to 2.25.7 and 2.26.2, an authenticated user with permission to create or modify workflows could supply a crafted parameters to the TimescaleDB and/or legacy Postgres v1 node's allowing arbitrary SQL to be injected and executed against the connected database within the privileges of the configured database account. This vulnerability is fixed in 2.25.7 and 2.26.2.
CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:N/VA:N/SC:H/SI:H/SA:H
Produtos afetados
n8n-io · n8nQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →