Post by Berk Dedekargınoğlu
Offensive Security Engineer | Vulnerability Researcher | 14+ CVEs | Building MentionCheck
n8n üzerinde, community package kurulumu sırasında OS Command Injection'a yol açan bir zafiyet tespit edip raporladım. Zafiyet giderildi ve CVE-2026-21893 olarak tanımlandı. Bu süreç, teknik bir bulgunun ötesinde öğretici bir severity tartışmasına dönüştü. Vendor, istismarın yönetici yetkisi gerektirmesini gerekçe göstererek bulguyu Low olarak sınıflandırdı. Ancak zafiyet değerlendirmesi açısından temel bir ayrım var: Command Injection, yetki seviyesi ne olursa olsun, kullanıcı girdisinin doğrudan OS üzerinde komut yürütmeye ulaşabildiği bir zafiyet sınıfıdır. Bu nedenle CVSS metodolojisiyle yapılan teknik değerlendirme, bu zafiyetin Low olarak değerlendirilemeyeceğini gösteriyor. Bu vaka, CVSS standartları ile vendor risk yorumu arasındaki yaklaşım farklarının pratikte nasıl ortaya çıkabildiğini gösteren ilginç bir örnek oldu. Medium https://lnkd.in/dtaJGfep Advisories https://lnkd.in/d-Qq_RUv https://lnkd.in/dTFjmdqS #n8n #CVE202621893 #OffensiveSecurity