CVE-2026-33665

n8n es una plataforma de automatización de flujos de trabajo de código abierto. Antes de las versiones 2.4.0 y 1.121.0, cuando la autenticación LDAP está habilitada, n8n vinculaba automáticamente una identidad LDAP a una cuenta local existente si el atributo de correo electrónico LDAP coincidía con el correo electrónico de la cuenta local. Un usuario LDAP autenticado que pudiera controlar su propio atributo de correo electrónico LDAP podía configurarlo para que coincidiera con el correo electrónico de otro usuario —incluido el de un administrador— y, al iniciar sesión, obtener acceso completo a esa cuenta. La vinculación de la cuenta persistía incluso si el correo electrónico LDAP se revertía posteriormente, lo que resultaba en una toma de control permanente de la cuenta. La autenticación LDAP debe estar configurada y activa (no predeterminada). El problema ha sido solucionado en las versiones 2.4.0 y 1.121.0 de n8n. Los usuarios deberían actualizar a una de estas versiones o posteriores para remediar la vulnerabilidad. Si la actualización no es posible de inmediato, los administradores deberían considerar las siguientes mitigaciones temporales: Deshabilitar la autenticación LDAP hasta que la instancia pueda ser actualizada, restringir los permisos del directorio LDAP para que los usuarios no puedan modificar sus propios atributos de correo electrónico, y/o auditar las cuentas existentes vinculadas a LDAP en busca de asociaciones de cuenta inesperadas. Estas soluciones provisionales no remedian completamente el riesgo y solo deberían usarse como medidas de mitigación a corto plazo.