Vulnerabilidad en n8n de n8n-io (CVE-2025-68949)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-134 Utilización de formatos de cadenas de control externo

Fecha de publicación:

13/01/2026

Última modificación:

16/01/2026

Descripción

n8n es una plataforma de automatización de flujos de trabajo de código abierto. Desde la 1.36.0 hasta antes de la 2.2.0, la validación de la lista blanca de IP del nodo Webhook realizaba una coincidencia parcial de cadenas en lugar de una comparación exacta de IP. Como resultado, una solicitud entrante podía ser aceptada si la dirección IP de origen simplemente contenía la entrada de la lista blanca configurada como una subcadena. Este problema afectaba a las instancias donde los editores de flujos de trabajo dependían de controles de acceso basados en IP para restringir el acceso a los webhooks. Tanto las direcciones IPv4 como IPv6 se vieron afectadas. Un atacante con una IP no incluida en la lista blanca podía eludir las restricciones si su IP compartía un prefijo parcial con una dirección de confianza, socavando el límite de seguridad previsto. Esta vulnerabilidad está corregida en la 2.2.0.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.30 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno