
Se ha divulgado la vulnerabilidad CVE-2026-59208 en la plataforma de automatización de flujos de trabajo n8n, que afecta exclusivamente a instancias Enterprise con la función de intercambio de tokens habilitada y configurada con más de un emisor externo de confianza.
La falla reside en un error de validación en el mecanismo de intercambio de tokens JWT (RFC 8693): al vincular un token entrante con una cuenta local, n8n consideraba únicamente el campo sub (identificador del usuario) ignorando el campo iss (emisor). Dado que el estándar RFC 7519 solo garantiza unicidad del sub dentro del contexto del emisor que lo generó, un atacante en posesión de un token válido del emisor A puede iniciar sesión como un usuario del emisor B si ambos comparten el mismo valor sub, sin necesidad de conocer la contraseña de la víctima..
CVE y severidad
| CVE | Severidad | Descripción | Impacto |
|---|---|---|---|
| CVE-2026-59208 | Alta (CVSS 4.0: 7.6 / CVSS 3.1: 6.8) | Validación incompleta del emisor JWT en el intercambio de tokens Enterprise (CWE-287, CWE-346) — solo se valida el campo sub, ignorando el campo iss |
Toma de control de cuentas de otros usuarios sin conocer sus credenciales en instancias con múltiples emisores de confianza configurados |
Productos afectados
| Fabricante | Producto | Componente | Versiones afectadas |
|---|---|---|---|
| n8n GmbH | n8n Enterprise | Intercambio de tokens (Enterprise) | Todas las versiones anteriores a 2.27.4 y versión 2.28.0 |
Solución
Actualizar a la versión 2.27.4, 2.28.1 o superior.
Al momento de publicación, la versión estable más reciente disponible en npm es la 2.30.6. Se recomienda utilizar siempre la versión estable más reciente compatible con el despliegue.
Recomendaciones
Verificar de inmediato si la instancia de n8n Enterprise en uso tiene el intercambio de tokens habilitado y si cuenta con más de un emisor externo configurado en N8N_TOKEN_EXCHANGE_TRUSTED_KEYS. Aplicar el parche con carácter prioritario. Revisar los logs de autenticación en busca de inicios de sesión anómalos, especialmente accesos con tokens de emisores que no correspondan al usuario autenticado.
Workarounds
- Reducir
N8N_TOKEN_EXCHANGE_TRUSTED_KEYSa un único emisor de confianza, eliminando todos los demás. - Como alternativa, deshabilitar completamente la función de intercambio de tokens hasta que pueda aplicarse el parche.
