PT-2026-36900 · N8N · N8N
34Selen
·
Publicado
2026-04-22
·
Atualizado
2026-06-15
·
CVE-2026-42228
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N |
Nome do Software Vulnerável e Versões Afetadas
n8n versões anteriores a 1.123.32
n8n versões anteriores a 2.17.4
n8n versões anteriores a 2.18.1
Descrição
O endpoint WebSocket '/chat' utilizado pelo recurso Hosted Chat do nó Chat Trigger não verifica se uma conexão recebida está autorizada a interagir com a execução do alvo. Um invasor remoto não autenticado que identifique um ID de execução válido para um fluxo de trabalho em estado de espera pode se conectar a essa execução, receber o prompt pendente destinado ao usuário legítimo e enviar entradas arbitrárias para retomar ou influenciar o comportamento do fluxo de trabalho subsequente.
Recomendações
Atualizar para a versão 1.123.32.
Atualizar para a versão 2.17.4.
Atualizar para a versão 2.18.1.
Exploit
Correção
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
N8N