CVE-2026-21894

Nome do Software Vulnerável e Versões Afetadas Versões do n8n 0.150.0 a 2.2.1

Descrição O n8n é uma plataforma de automação de fluxo de trabalho. Uma falha no nó Stripe Trigger permite que partes não autenticadas acionem fluxos de trabalho enviando eventos webhook do Stripe forjados. O nó Stripe Trigger cria um segredo de assinatura de webhook do Stripe ao registrar o endpoint do webhook, mas as solicitações de webhook recebidas não eram verificadas em relação a esse segredo. Consequentemente, qualquer cliente HTTP com conhecimento da URL do webhook pode enviar uma solicitação POST com um tipo de evento correspondente, fazendo com que o fluxo de trabalho seja executado como se um evento legítimo do Stripe tivesse ocorrido. Isso impacta usuários do n8n com fluxos de trabalho ativos que utilizam o nó Stripe Trigger. Um atacante poderia potencialmente simular eventos de pagamento ou assinatura, influenciando o comportamento subsequente do fluxo de trabalho. O risco é reduzido pelo fato de a URL do webhook conter um UUID de alta entropia, embora usuários autenticados do n8n com acesso ao fluxo de trabalho possam visualizar este ID. O componente afetado é o nó Stripe Trigger.

Recomendações As versões 0.150.0 a 2.2.1 devem ser atualizadas para a versão 2.2.2 ou posterior. Como medida de contorno temporária, desative os fluxos de trabalho afetados. Restrinja o acesso a fluxos de trabalho contendo nós Stripe Trigger apenas a usuários confiáveis.