Vulnerabilidad de severidad alta en n8n permite suplantación de identidad entre emisores de tokens JWT en instancias Enterprise

Se ha divulgado la vulnerabilidad CVE-2026-59208 en la plataforma de automatización de flujos de trabajo n8n, que afecta exclusivamente a instancias Enterprise con la función de intercambio de tokens habilitada y configurada con más de un emisor externo de confianza.

La falla reside en un error de validación en el mecanismo de intercambio de tokens JWT (RFC 8693): al vincular un token entrante con una cuenta local, n8n consideraba únicamente el campo sub (identificador del usuario) ignorando el campo iss (emisor). Dado que el estándar RFC 7519 solo garantiza unicidad del sub dentro del contexto del emisor que lo generó, un atacante en posesión de un token válido del emisor A puede iniciar sesión como un usuario del emisor B si ambos comparten el mismo valor sub, sin necesidad de conocer la contraseña de la víctima..

CVE y severidad

CVE Severidad Descripción Impacto
CVE-2026-59208 Alta (CVSS 4.0: 7.6 / CVSS 3.1: 6.8) Validación incompleta del emisor JWT en el intercambio de tokens Enterprise (CWE-287, CWE-346) — solo se valida el campo sub, ignorando el campo iss Toma de control de cuentas de otros usuarios sin conocer sus credenciales en instancias con múltiples emisores de confianza configurados

Productos afectados

Fabricante Producto Componente Versiones afectadas
n8n GmbH n8n Enterprise Intercambio de tokens (Enterprise) Todas las versiones anteriores a 2.27.4 y versión 2.28.0

Solución

Actualizar a la versión 2.27.4, 2.28.1 o superior.

Al momento de publicación, la versión estable más reciente disponible en npm es la 2.30.6. Se recomienda utilizar siempre la versión estable más reciente compatible con el despliegue.

Recomendaciones

Verificar de inmediato si la instancia de n8n Enterprise en uso tiene el intercambio de tokens habilitado y si cuenta con más de un emisor externo configurado en N8N_TOKEN_EXCHANGE_TRUSTED_KEYS. Aplicar el parche con carácter prioritario. Revisar los logs de autenticación en busca de inicios de sesión anómalos, especialmente accesos con tokens de emisores que no correspondan al usuario autenticado.

Workarounds

  • Reducir N8N_TOKEN_EXCHANGE_TRUSTED_KEYS a un único emisor de confianza, eliminando todos los demás.
  • Como alternativa, deshabilitar completamente la función de intercambio de tokens hasta que pueda aplicarse el parche.

Referencias