📰 Informação fresquinha chegando para você!

Sua opinião é importante: leia e participe!

Apoie esse projeto de divulgacao de noticias! Clique aqui
n8n, a plataforma de automação de fluxo de trabalho, distribuiu contas erradas no login. Nas instâncias Enterprise configuradas para confiar em mais de um emissor de token externo, ele correspondeu um JWT de entrada a um usuário local apenas na subdeclaração e ignorou o problema.

Um token válido do emissor A carregando um sub que pertence a alguém do emissor B fez login como ele. A senha deles nunca apareceu. n8n enviou a correção em 24 de junho.

A falha é rastreada como CVE-2026-59208. O registro CVE não se tornou público até 9 de julho. n8n credita o relatório à conta do GitHub bearsyankees, cujo perfil lista Strix, que é um agente de testes de penetração de IA.

Strix diz que apontou que o agente estava no fluxo de troca de tokens e encontrou o bug de ligação de identidade lá.

Dois emissores, uma conta

A troca de tokens é a rota empresarial da n8n para parceiros OEM que incorporam o produto, uma implementação RFC 8693 que poupa aos usuários uma segunda tela de login.

O parceiro assina um JWT de curta duração com sua própria chave, n8n o verifica em relação a uma chave pública configurada, corresponde às declarações a uma conta local e o usuário entra. As chaves confiáveis ​​vão em N8N_TOKEN_EXCHANGE_TRUSTED_KEYS, e os documentos de implantação ainda marcam o recurso como visualização.

O próprio token faz check-out. A correspondência é o bug. Um sub valor só tem garantia de ser exclusivo dentro do emissor que o cunhou. A RFC 7519 pede que o escopo seja "localmente exclusivo no contexto do emissor" ou então globalmente exclusivo. O identificador de um usuário é, portanto, o par, iss mais sub.

n8n digitou metade dele. Nada impede que dois emissores emitam a mesma sequência de assunto e, quando o fazem, ambos vão para uma conta n8n.

Quão grande é isso

A falha atinge uma instância somente se a troca de tokens estiver ativada e a configuração confiar em pelo menos dois emissores externos. n8n diz que nada mais foi afetado. A troca de token é apenas corporativa e ainda sinalizada como uma versão prévia, portanto, o conjunto exposto é pequeno e específico: implantações OEM, onde confiar em um segundo emissor é uma configuração suportada.

O que o comunicado não define é como um invasor obtém o token. Diz apenas que eles podem obter um. A questão prática é se um usuário comum de um emissor confiável pode influenciar a sub que recebe. O registro público não responde. O vetor CVSS 4.0 do GitHub marca os requisitos de ataque como presentes e para por aí.

GitHub atribuiu esse vetor. Como o CNA aqui, coloca CVE-2026-59208 em 7,6 no CVSS 4.0, alto. O NVD coloca o mesmo bug em 6.8 no CVSS 3.1, médio, e não emitiu nenhuma avaliação 4.0; seu registro carrega CWE-287 e CWE-346. A avaliação SSVC da CISA de 13 de julho registra a exploração como nenhuma, e o The Hacker News não encontrou nenhuma prova de conceito pública nas pesquisas de 16 de julho.

Duas semanas antes da correção de 24 de junho, os mantenedores corrigiram a CVE-2026-54305, outra falha exclusiva para empresas. Ele permite que qualquer usuário autenticado substitua ou revogue os tokens OAuth armazenados de outro usuário por meio dos endpoints de credenciais dinâmicas. Essa era uma verificação de propriedade ausente, não uma ligação de identidade. Bug diferente, mesma superfície.

O Hacker News entrou em contato com n8n para confirmar o escopo e o impacto do CVE-2026-59208 e atualizará esta história com qualquer resposta.

Corrija ou corte a lista de emissores

CVE-2026-59208 afeta todas as versões n8n anteriores à 2.27.4 e à versão 2.28.0. A correção chegou pela primeira vez em 2.27.4 e 2.28.1. Esses são o chão. Em 16 de julho, o pacote npm do n8n trazia a versão 2.30.6 nas tags mais recentes e estáveis. Ele envia um novo menor na maioria das semanas por conta própria, então verifique a etiqueta e pegue a versão estável mais recente que sua implantação suporta.

Se a correção tiver que esperar, descubra o que você está executando: N8N_TOKEN_EXCHANGE_TRUSTED_KEYS contém as chaves de assinatura confiáveis, e uma sinalização de visualização separada controla se a troca de tokens está ativada. Reduza para um único emissor confiável ou desative o recurso.

O comunicado apela a ambas as medidas de curto prazo e afirma que nenhuma delas remedia totalmente o risco. Isso é padrão, idêntico em pelo menos três outros avisos n8n, incluindo o de 10 de junho. Pela declaração de escopo do próprio n8n, uma instância com troca de token desativada não é afetada.

Nenhuma das notas de lançamento menciona a correção. O Hacker News verificou ambos: entre eles, os registros de alterações 2.27.4 e 2.28.1 cobrem uma correção de importação do Python, uma atualização de nó do Google Ads, uma verificação de fluxo de trabalho de IA e uma alteração na construção de nó, e nada sobre identidade.

A assessoria é onde esse mora. Se suas decisões de atualização forem executadas em registros de alterações, esse é o tipo de correção que passa despercebida.

Siga Canal Fsociety para mais novidades:
Instagram | Facebook | Telegram | Twitter
#samirnews #samir #news #boletimtec #a #falha #n8n #token #exchange #pode #permitir #que #invasores #façam #login #como #usuários #de #outro #emissor
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡

Post a Comment