CVE-2026-42235 in n8ninformación

Resumen

por VulDB • 2026-05-11

n8n es una plataforma de automatización de flujos de trabajo de código abierto. Antes de las versiones 1.123.32, 2.17.4 y 2.18.1, un atacante no autenticado podía registrar un cliente OAuth MCP malicioso utilizando un client_name manipulado. Si un usuario víctima autorizaba el cuadro de consentimiento de OAuth y un segundo usuario revocaba posteriormente ese acceso, una notificación toast (toast notification) renderizaría el script inyectado. Hacer clic en el enlace ejecutaría JavaScript arbitrario en la sesión del navegador de n8n autenticada de la víctima, lo que permitiría el robo de credenciales y tokens de sesión, la manipulación de flujos de trabajo o la escalada de privilegios. Este problema se ha corregido en las versiones 1.123.32, 2.17.4 y 2.18.1.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Reservar

2026-04-25

Divulgación

2026-05-04

Moderación

aceptado

Artículo

VDB-361036

CPE

listo

CWE

CWE-87 (confirmado)

CVSS

4.3 (VulDB)

EPSS

0.00080

KEV

Actividades

muy bajo

Fuentes

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-42235
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-42235
CVE Details	https://www.cvedetails.com/cve/CVE-2026-42235/

◂ Anterior Visión De Conjunto Próximo ▸

Do you know our Splunk app?

Download it now for free!