Vulnerabilidad en n8n (CVE-2026-27578)
Gravedad CVSS v4.0:
ALTA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
25/02/2026
Última modificación:
27/02/2026
Descripción
n8n es una plataforma de automatización de flujos de trabajo de código abierto. Antes de las versiones 2.10.1, 2.9.3 y 1.123.22, un usuario autenticado con permiso para crear o modificar flujos de trabajo podía inyectar scripts arbitrarios en páginas renderizadas por la aplicación n8n utilizando diferentes técnicas en varios nodos (nodo Form Trigger, nodo Chat Trigger, nodo Send & Wait, nodo Webhook y nodo Chat). Los scripts inyectados por un flujo de trabajo malicioso se ejecutan en el navegador de cualquier usuario que visite la página afectada, lo que permite el secuestro de sesión y la toma de control de cuentas. Los problemas se han solucionado en las versiones de n8n 2.10.1 y 1.123.21. Los usuarios deben actualizar a una de estas versiones o posteriores para remediar la vulnerabilidad. Si la actualización no es posible de inmediato, los administradores deben considerar las siguientes mitigaciones temporales. Limite los permisos de creación y edición de flujos de trabajo solo a usuarios de plena confianza, y/o deshabilite el nodo Webhook añadiendo 'n8n-nodes-base.webhook' a la variable de entorno 'NODES_EXCLUDE'. Estas soluciones provisionales no remedian completamente el riesgo y solo deben utilizarse como medidas de mitigación a corto plazo.
Impacto
Puntuación base 4.0
8.50
Gravedad 4.0
ALTA
Referencias a soluciones, herramientas e información
- https://github.com/n8n-io/n8n/commit/062644ef786b6af480afe4a0f12bc6d70040534a
- https://github.com/n8n-io/n8n/commit/1479aab2d32fe0ee087f82b9038b1035c98be2f6
- https://github.com/n8n-io/n8n/commit/9e5212ecbc5d2d4e6f340b636a5e84be6369882e
- https://github.com/n8n-io/n8n/security/advisories/GHSA-2p9h-rqjw-gm92