n8n Corrige Falha Que Deixava Um Login Assumir Conta de Outro
A CVE-2026-59208, classificada como Alta (CVSS 7,6), fazia o n8n reconhecer usuários só pelo valor do sub do token, nunca pelo emissor.
- Falha atingia instâncias com troca de token ativada e mais de um emissor confiável configurado.
- Corrigida nas versões 2.28.1 e 2.27.4, lançadas após a divulgação em 24 de junho de 2026.
- O pesquisador bearsyankees reportou o problema; antes do patch só ajudava usar um único emissor.
Por que importa: Um sistema de login que confere a alegação mas não a origem não distingue aliado de impostor.
n8n Security Advisory GHSA-mq3m-f8x3-579w (GitHub) ↗ · 15 de jul. de 202615/07/26 · ✓ Checado✓