CVE-2026-42227n8n开源工作流自动化平台在特定版本前存在越权访问漏洞。拥有有效API密钥(且权限为variable:list)的认证用户,可以通过向公共API变量端点提供任意projectId参数,读取其非成员项目的变量。该漏洞是因为处理程序直接查询变量库而未检查项目成员资格,绕过了授权层。此问题仅影响启用了变量功能的多项目授权企业或团队部署。
该漏洞属于不安全的直接对象引用(IDOR)类型的越权访问漏洞。在受影响的n8n版本中,处理变量读取请求的公共API端点存在逻辑缺陷。虽然系统验证了API密钥是否具有`variable:list`的基本作用域权限,但在执行查询逻辑时,后端直接调用了底层的变量存储库,而未执行请求用户是否属于目标`projectId`对应项目的成员资格检查,从而绕过了内部企业控制器中使用的授权感知服务层。攻击者只要持有任何合法的API密钥,即可通过修改请求参数中的projectId,遍历并获取其他项目中的敏感变量数据。由于企业环境中常在变量中存储数据库密码、API Token等敏感凭证,该漏洞可能导致严重的信息泄露后果。