CVE-2026-25631

Nome do Software Vulnerável e Versões Afetadas Versões do n8n anteriores à 1.121.0

Descrição O n8n é uma plataforma de automação de fluxo de trabalho. Uma falha na validação de domínio das credenciais do nó HTTP Request poderia permitir que um atacante autenticado enviasse solicitações com credenciais para domínios não intencionados, potencialmente resultando em exfiltração de credenciais. Este problema impacta especificamente usuários que possuem credenciais com padrões de domínio curinga (por exemplo, *.example.com) configurados na configuração "Allowed domains" (Domínios Permitidos). O componente vulnerável é o nó HTTP Request. A configuração vulnerável é a configuração "Allowed domains" (Domínios Permitidos).

Recomendações Versões anteriores à 1.121.0 devem ser atualizadas para a versão 1.121.0 ou posterior. Substitua padrões de domínio curinga por listas de domínios explícitos nas credenciais do HTTP Request. Revise e restrinja as permissões de criação/modificação de fluxos de trabalho apenas para usuários confiáveis. Audite os fluxos de trabalho existentes que utilizam nós HTTP Request com credenciais restritas por domínio.