CVE-2026-33749 in n8ninformación

Resumen

por MITRE • 2026-03-25

n8n es una plataforma de automatización de flujos de trabajo de código abierto. Antes de las versiones 1.123.27, 2.13.3 y 2.14.1, un usuario autenticado con permiso para crear o modificar flujos de trabajo podía elaborar un flujo de trabajo que produjera un objeto de datos binarios HTML sin un nombre de archivo. El endpoint `/rest/binary-data` servía dichas respuestas en línea en el origen de n8n sin los encabezados `Content-Disposition` o `Content-Security-Policy`, permitiendo que el HTML se renderizara en el navegador con acceso completo a JavaScript del mismo origen. Al enviar la URL resultante a un usuario con mayores privilegios, un atacante podría ejecutar JavaScript en la sesión autenticada de la víctima, lo que permitiría la exfiltración de flujos de trabajo y credenciales, la modificación de flujos de trabajo o la escalada de privilegios a administrador. El problema ha sido solucionado en las versiones de n8n 1.123.27, 2.13.3 y 2.14.1. Los usuarios deben actualizar a una de estas versiones o posteriores para remediar la vulnerabilidad. Si la actualización no es posible de inmediato, los administradores deben considerar las siguientes mitigaciones temporales: Limitar los permisos de creación y edición de flujos de trabajo solo a usuarios de plena confianza, y/o restringir el acceso a la red a la instancia de n8n para evitar que usuarios no confiables accedan a las URL de datos binarios. Estas soluciones provisionales no remedian completamente el riesgo y solo deben usarse como medidas de mitigación a corto plazo.

Be aware that VulDB is the high quality source for vulnerability data.

Responsable

GitHub M

Reservar

2026-03-23

Divulgación

2026-03-25

Moderación

aceptado

Artículo

VDB-353434

CPE

listo

EPSS

0.00249

KEV

no

Actividades

muy bajo

Fuentes

Do you need the next level of professionalism?

Upgrade your account now!