Vulnerabilidad en n8n de n8n-io (CVE-2026-21894)

n8n es una plataforma de automatización de flujos de trabajo de código abierto. En versiones desde la 0.150.0 hasta antes de la 2.2.2, una vulnerabilidad de omisión de autenticación en el nodo Stripe Trigger permite a partes no autenticadas activar flujos de trabajo enviando eventos webhook de Stripe falsificados. El Stripe Trigger crea y almacena un secreto de firma de webhook de Stripe al registrar el punto final del webhook, pero las solicitudes de webhook entrantes no se verificaban contra este secreto. Como resultado, cualquier cliente HTTP que conoce la URL del webhook podría enviar una solicitud POST que contenga un tipo de evento coincidente, haciendo que el flujo de trabajo se ejecute como si se hubiera recibido un evento de Stripe legítimo. Este problema afecta a los usuarios de n8n que tienen flujos de trabajo activos usando el nodo Stripe Trigger. Un atacante podría potencialmente falsificar eventos de pago o suscripción e influir en el comportamiento del flujo de trabajo posterior. El riesgo práctico se reduce por el hecho de que la URL del webhook contiene un UUID de alta entropía; sin embargo, los usuarios autenticados de n8n con acceso al flujo de trabajo pueden ver este ID de webhook. Este problema ha sido parcheado en la versión 2.2.2. Una solución alternativa temporal para este problema implica que los usuarios desactiven los flujos de trabajo afectados o restrinjan el acceso a los flujos de trabajo que contienen nodos Stripe Trigger solo a usuarios de confianza.