n8n corrige un error que permitía a un proveedor de acceso suplantar al usuario de otro
La vulnerabilidad CVE-2026-59208, de gravedad alta (CVSS 7.6), permitía a n8n emparejar usuarios solo por el valor del asunto del JWT, omitiendo al emisor.
- El fallo afectó a cualquier instancia de n8n con el intercambio de tokens activado y múltiples emisores de confianza configurados.
- Corregido en las versiones 2.28.1 y 2.27.4, publicadas tras su divulgación el 24 de junio de 2026.
- El investigador bearsyankees reportó el error, la única mitigación antes del parche era usar una configuración de un solo emisor.
Por qué importa: Un sistema de acceso que verifica la afirmación pero no su origen no puede distinguir a un aliado de un impostor.
n8n Security Advisory GHSA-mq3m-f8x3-579w (GitHub) ↗ · 15 jul 202615/7/26 · ✓ Verificado✓