CVE-2026-33663

n8n es una plataforma de automatización de flujos de trabajo de código abierto. Antes de las versiones 2.14.1, 2.13.3 y 1.123.27, un usuario autenticado con el rol 'global:member' podía explotar fallos encadenados de autorización en la cadena de credenciales de n8n para robar secretos en texto plano de credenciales HTTP genéricas ('httpBasicAuth', 'httpHeaderAuth', 'httpQueryAuth') pertenecientes a otros usuarios en la misma instancia. El ataque abusa de una ruta de resolución de credenciales basada en nombres que no aplica la propiedad ni el alcance del proyecto, combinada con un bypass en el verificador de permisos de credenciales que hace que los tipos de credenciales HTTP genéricas se omitan durante la validación previa a la ejecución. Juntos, estos fallos permiten a un usuario con rol de miembro resolver el ID de credencial de otro usuario y ejecutar un flujo de trabajo que descifra y utiliza esa credencial sin autorización. Los tipos de credenciales de integración nativa (por ejemplo, 'slackApi', 'openAiApi', 'postgres') no se ven afectados por este problema. Esta vulnerabilidad afecta solo a la Community Edition. La Enterprise Edition tiene puertas de permiso adicionales en la creación y ejecución de flujos de trabajo que bloquean independientemente esta cadena de ataque. El problema se ha solucionado en las versiones de n8n 1.123.27, 2.13.3 y 2.14.1. Los usuarios deben actualizar a una de estas versiones o posteriores para remediar la vulnerabilidad. Si la actualización no es posible de inmediato, los administradores deben considerar las siguientes mitigaciones temporales: Restringir el acceso a la instancia solo a usuarios de plena confianza, y/o auditar las credenciales almacenadas en la instancia y rotar cualquier credencial HTTP genérica ('httpBasicAuth', 'httpHeaderAuth', 'httpQueryAuth') que pueda haber sido expuesta. Estas soluciones provisionales no remedian completamente el riesgo y solo deben usarse como medidas de mitigación a corto plazo.