CVE-2026-59208: Vulnerabilidade no n8n pode permitir login indevido entre emissores de identidade

n8n-main

A plataforma de automação n8n corrigiu uma grave vulnerabilidade identificada como CVE-2026-59208, que pode permitir que um invasor realize autenticação como outro usuário em ambientes Enterprise configurados com múltiplos emissores de tokens. A falha afeta especificamente o mecanismo de troca de tokens (Token Exchange) e representa um risco importante para organizações que utilizam integrações OEM e autenticação federada.

Neste artigo você entenderá como essa vulnerabilidade funciona, quais versões são afetadas, os riscos envolvidos e quais medidas devem ser adotadas imediatamente para fortalecer a segurança da informação.


O que é a CVE-2026-59208?

A CVE-2026-59208 é uma vulnerabilidade de autenticação encontrada na funcionalidade Token Exchange do n8n Enterprise.

O problema ocorre porque o sistema utilizava apenas o campo sub (Subject) do JWT para identificar um usuário local, ignorando completamente o campo iss (Issuer), responsável por identificar qual autoridade emitiu o token.

Na prática, isso significa que:

  • Um token válido emitido pelo Emissor A;
  • Contendo um identificador (sub) igual ao de um usuário pertencente ao Emissor B;
  • Poderia autenticar o usuário incorreto.

Ou seja, não seria necessário conhecer senha, MFA ou qualquer outro mecanismo de autenticação da vítima.


Como funciona o Token Exchange do n8n?

O recurso de Token Exchange foi desenvolvido para parceiros OEM que incorporam o n8n em suas próprias plataformas.

Seu objetivo é eliminar uma segunda tela de login.

O fluxo normalmente funciona assim:

  1. O parceiro gera um JWT temporário;
  2. O JWT é assinado com sua chave privada;
  3. O n8n valida essa assinatura utilizando uma chave pública previamente cadastrada;
  4. O sistema localiza o usuário correspondente;
  5. O acesso é concedido.

O erro ocorreu exatamente na etapa de identificação do usuário.


Onde estava o problema?

Segundo a especificação RFC 7519, um usuário deve ser identificado pela combinação:

Issuer (iss) + Subject (sub)

O valor sub sozinho só é garantido como único dentro do emissor que criou aquele token.

Como o n8n ignorava o campo iss, dois emissores diferentes poderiam possuir usuários com o mesmo identificador.

Resultado:

  • Emissor A → sub = usuario123
  • Emissor B → sub = usuario123

O sistema tratava ambos como sendo exatamente a mesma pessoa.


Comparação entre o comportamento correto e o vulnerável

CaracterísticaImplementação VulnerávelImplementação Corrigida
Verificação do campo issNãoSim
Verificação do campo subSimSim
Identificação única do usuárioNãoSim
Possibilidade de colisão entre emissoresAltaEliminada
Conformidade com RFC 7519ParcialCompleta

Quem é afetado pela CVE-2026-59208?

A vulnerabilidade possui um escopo bastante específico.

Ela afeta apenas ambientes que utilizam:

  • n8n Enterprise;
  • Token Exchange habilitado;
  • Dois ou mais emissores externos confiáveis.

Ambientes Community Edition não são afetados.

Além disso, o recurso ainda era considerado Preview (Visualização), reduzindo significativamente a quantidade de instalações expostas.

Mesmo assim, empresas que utilizam autenticação federada devem tratar essa atualização como prioritária para manter a segurança da informação.


Qual o impacto da vulnerabilidade?

O maior risco é a confusão de identidade.

Em vez de quebrar senhas ou explorar falhas criptográficas, o invasor poderia explorar a lógica de autenticação.

Entre os possíveis impactos estão:

Acesso indevido

Usuários poderiam acessar contas pertencentes a outro emissor confiável.

Exposição de dados

Fluxos automatizados frequentemente manipulam:

  • APIs internas;
  • Tokens OAuth;
  • Credenciais;
  • Dados corporativos;
  • Informações financeiras.

Uma autenticação incorreta poderia expor esses recursos.

Escalada de privilégios

Dependendo do perfil da conta comprometida, o atacante poderia assumir permissões administrativas.


Avaliações de severidade

Diversas organizações classificaram a vulnerabilidade de maneira diferente.

OrganizaçãoAvaliação
GitHub CNACVSS 4.0: 7,6 (Alta)
NVDCVSS 3.1: 6,8 (Média/Alta)
CISA SSVCNenhuma exploração conhecida
The Hacker NewsNenhum PoC público encontrado até 16 de julho

Embora ainda não existam evidências públicas de exploração, especialistas recomendam atualizar imediatamente.


Versões afetadas

A CVE-2026-59208 afeta:

  • Todas as versões inferiores à 2.27.4;
  • Versão 2.28.0.

As versões corrigidas são:

VersãoSituação
2.27.4Corrigida
2.28.1Corrigida
2.30.6Corrigida (mais recente)

Como corrigir a vulnerabilidade

n8n-main

Atualize imediatamente

A principal recomendação é instalar uma versão corrigida.

Quanto mais recente a versão estável utilizada, menor será a superfície de ataque.


Caso não seja possível atualizar

Enquanto a atualização não ocorre, algumas medidas reduzem o risco.

Utilizar apenas um emissor

Caso sua infraestrutura utilize vários emissores confiáveis, reduza temporariamente para apenas um.


Desabilitar o Token Exchange

Se o recurso não for essencial, desative-o completamente.

Embora essa medida não substitua a atualização, ela reduz significativamente a possibilidade de exploração.


Revisar as configurações

Verifique especialmente:

  • N8N_TOKEN_EXCHANGE_TRUSTED_KEYS
  • Configuração do recurso Token Exchange
  • Lista de emissores confiáveis

Outra vulnerabilidade corrigida recentemente

Poucas semanas antes, o n8n também corrigiu a CVE-2026-54305.

Embora diferente da CVE-2026-59208, ela também afetava ambientes Enterprise.

Nesse caso, qualquer usuário autenticado poderia sobrescrever ou revogar tokens OAuth pertencentes a outro usuário devido à ausência de validação de propriedade.

Isso demonstra que componentes relacionados à autenticação merecem atenção especial durante auditorias de segurança da informação.


Por que essa vulnerabilidade merece atenção?

Mesmo atingindo um número reduzido de ambientes, a CVE-2026-59208 evidencia um erro clássico de implementação de identidade.

O protocolo JWT é seguro quando utilizado corretamente.

Entretanto, pequenas falhas na interpretação das especificações podem gerar consequências graves.

Outro ponto importante é que essa correção não apareceu nas notas tradicionais de lançamento.

Administradores que acompanham apenas changelogs podem deixar de aplicar atualizações críticas de segurança.

Por isso, acompanhar boletins de vulnerabilidades deve fazer parte da rotina de qualquer equipe de segurança da informação.


Boas práticas para evitar problemas semelhantes

Algumas recomendações ajudam a reduzir riscos envolvendo autenticação federada:

Boa práticaBenefício
Atualizar frequentemente o n8nCorreção rápida de vulnerabilidades
Limitar emissores confiáveisRedução da superfície de ataque
Revisar integrações OAuthEvita abuso de credenciais
Monitorar logs de autenticaçãoIdentifica acessos suspeitos
Aplicar princípio do menor privilégioReduz impacto de comprometimentos
Realizar auditorias periódicasDetecta configurações inseguras

Conclusão

A CVE-2026-59208 demonstra como um simples erro na validação de identidade pode comprometer sistemas corporativos que utilizam autenticação baseada em JWT. Embora a vulnerabilidade afete apenas ambientes Enterprise com múltiplos emissores configurados, seu potencial impacto é significativo, pois permite autenticação indevida sem necessidade de comprometer senhas.

Administradores que utilizam o n8n devem verificar imediatamente a versão instalada, atualizar para uma versão corrigida e revisar a configuração do Token Exchange. Além disso, manter uma estratégia contínua de segurança da informação, com monitoramento de vulnerabilidades e aplicação rápida de patches, é essencial para reduzir riscos e proteger fluxos de automação críticos.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Compartilhe esse conteúdo em suas redes sociais

Luis Paulo

Me chamo Luis Paulo sou apaixonado por tecnologia e Inteligência Artificial, sou formado em Redes de Computadores pós graduado em Lei Geral de Proteção de Dados Pessoais (LGPD). Possuo varias certificação na área de tecnologia, compartilho ideias, curiosidade, conhecimentos e insigths do mundo digital. Para informações ao meu respeito acesse minha pagina do meu LinKedin.