Token Jwt

Falha de segurança no n8n permite login indevido em contas

O n8n, uma plataforma de automação de fluxos de trabalho, enfrentou uma vulnerabilidade crítica que permitia o login indevido em contas de usuários. A falha, identificada como CVE-2026-59208, ocorreu em instâncias Enterprise configuradas para confiar em mais de um emissor de tokens externos. O problema estava na forma como o sistema validava os tokens JWT, utilizando apenas a reivindicação ‘sub’ e ignorando a ‘iss’, o que permitia que um token válido de um emissor diferente logasse um usuário como se fosse outro. A correção foi lançada em 24 de junho de 2026, mas a vulnerabilidade só foi divulgada publicamente em 9 de julho. O impacto é limitado a configurações específicas de parceiros OEM que utilizam a troca de tokens, mas a falta de clareza sobre como um atacante poderia obter um token válido levanta preocupações. O CVSS 4.0 atribuiu uma pontuação de 7.6, indicando um risco alto, enquanto a NVD avaliou a falha como média, com uma pontuação de 6.8. O n8n recomenda que os usuários atualizem para as versões 2.27.4 ou 2.28.1 ou limitem a lista de emissores confiáveis para mitigar o risco.