Oscarbataille

**Nome do Software Vulnerável e Versões Afetadas** n8n versões anteriores a 1.123.32 n8n versões anteriores a 2.17.4 n8n versões anteriores a 2.18.1 **Description** Um invasor não autenticado pode registrar um cliente MCP OAuth malicioso usando um `client name` manipulado. Se um usuário vítima autorizar o diálogo de consentimento OAuth e um segundo usuário revogar esse acesso posteriormente, uma notificação toast renderiza o script injetado. Ao clicar no link, é executado JavaScript arbitrário na sessão do navegador autenticada da vítima, o que pode permitir o roubo de credenciais e tokens de sessão, a manipulação de fluxos de trabalho ou a escalada de privilégios. **Recommendations** Atualizar para a versão 1.123.32. Atualizar para a versão 2.17.4. Atualizar para a versão 2.18.1.