Cerrar menú
  • Inicio
  • Identidad
  • Inventos
  • Futuro
  • Ciencia
  • Startups
  • English
What's Hot

Una falla en el intercambio de tokens n8n podría permitir a un atacante iniciar sesión como usuario de otro emisor

El nuevo malware TELEPUZ se propaga a través de ClickFix, roba datos y ejecuta comandos

El nuevo ladrón ClickLock para macOS elimina aplicaciones cada 210 milisegundos hasta que la víctima ingresa la contraseña

Facebook X (Twitter) Instagram
  • Home
  • Contáctenos
  • DMCA
  • Política de Privacidad
  • Sobre Nosotros
  • Términos y Condiciones
  • 📢 Anúnciate con Nosotros
  • Enviar publicaciones
FySelf Noticias
  • Inicio
  • Identidad
  • Inventos
  • Futuro
  • Ciencia
  • Startups
  • English
FySelf Noticias
Home»Identidad»Una falla en el intercambio de tokens n8n podría permitir a un atacante iniciar sesión como usuario de otro emisor
Identidad

Una falla en el intercambio de tokens n8n podría permitir a un atacante iniciar sesión como usuario de otro emisor

corp@blsindustriaytecnologia.comBy corp@blsindustriaytecnologia.comjulio 16, 2026No hay comentarios5 minutos de lectura
Share Facebook Twitter Pinterest Telegram LinkedIn Tumblr Email Copy Link
Follow Us
Google News Flipboard
Share
Facebook Twitter LinkedIn Pinterest Email Copy Link

Swati Khandelwal16 de julio de 2026Vulnerabilidades/Seguridad Web

n8n, una plataforma de automatización del flujo de trabajo, distribuyó una cuenta incorrecta al iniciar sesión. En una instancia empresarial que se configuró para confiar en varios emisores de tokens externos, hicimos coincidir el JWT recibido con el usuario local solo en el reclamo secundario e ignoramos el problema.

Ha iniciado sesión como un token válido del emisor A que contiene una suscripción que pertenece a alguien del emisor B. Sus contraseñas nunca llegaron. n8n envió una versión revisada el 24 de junio.

Esta falla se rastrea como CVE-2026-59208. Los registros CVE no se publicaron hasta el 9 de julio. n8n atribuye este informe a la cuenta de GitHub Bearsyankees. El perfil de esta cuenta incluye a Strix, que crea agentes de pruebas de penetración de IA.

Strix dijo que el agente notó que había descubierto un error de vinculación de ID en el flujo de intercambio de tokens.

Dos editores, una cuenta

Token Exchange es la ruta empresarial de n8n para que los socios OEM integren sus productos y es una implementación RFC 8693 que elimina la necesidad de una segunda pantalla de inicio de sesión para los usuarios.

El socio firma el JWT de corta duración con su propia clave, n8n lo valida con la clave pública configurada, compara el reclamo con la cuenta local y el usuario se une. Las claves confiables se almacenan en N8N_TOKEN_EXCHANGE_TRUSTED_KEYS y la función todavía está etiquetada como vista previa en la documentación de implementación.

El token en sí está desprotegido. La coincidencia es un error. Se garantiza que los subvalores serán únicos solo dentro del editor que los creó. RFC 7519 requiere que su «alcance sea localmente único dentro del contexto del editor» o globalmente único. Por lo tanto, el identificador del usuario es un iss y un subpar.

n8n ingresó la mitad. No hay nada que impida que dos editores publiquen la misma cadena de asunto. Una vez publicados, ambos llegarán a una cuenta n8n.

¿Qué tan grande es esto?

Esta falla solo afecta a los casos en los que el intercambio de tokens está activado y la configuración confía en al menos dos emisores externos. n8n dice que no afecta nada más. El intercambio de tokens es solo empresarial y todavía está marcado como una vista previa, por lo que el conjunto público será pequeño y limitado. Esto significa que confiar en un segundo editor es una configuración admitida para implementaciones OEM.

Lo que el aviso no especifica es cómo un atacante obtendría los tokens. Solo dice que está disponible. La cuestión práctica es si los usuarios habituales de editores de confianza pueden influir en las suscripciones que reciben. Los documentos oficiales no responden a eso. El vector CVSS 4.0 de GitHub marca el requisito de ataque como presente y se detiene ahí.

GitHub asignó ese vector. CNA aquí tiene CVE-2026-59208 configurado en un valor alto de 7,6 con CVSS 4.0. NVD ha documentado el mismo error en 6.8 de CVSS 3.1 (medio) y no ha emitido ninguna evaluación para 4.0. Sus registros incluyen CWE-287 y CWE-346. La evaluación SSVC de CISA del 13 de julio no registró exploits y The Hacker News no encontró pruebas de concepto publicadas en una búsqueda del 16 de julio.

Dos semanas antes de la corrección del 24 de junio, los administradores parchearon otra falla exclusiva para empresas, CVE-2026-54305. Esto permite a un usuario autenticado sobrescribir o revocar el token de OAuth guardado de otro usuario a través del punto final de credenciales dinámicas. A esto le faltaba una verificación de propiedad, no un vínculo de identidad. Diferentes bichos, misma superficie.

Hacker News se comunicó con n8n para confirmar el alcance y el impacto de CVE-2026-59208 y actualizará este artículo si recibimos una respuesta.

Parchea o elimina tu lista de editores

CVE-2026-59208 afecta a todas las versiones de n8n anteriores a la 2.27.4 y la versión 2.28.0. Esta solución se aplicó por primera vez en 2.27.4 y 2.28.1. Ese es el piso. El 16 de julio, los paquetes npm para n8n incluyeron 2.30.6 para etiquetas modernas y estables. Enviamos nuevos mineros por nuestra cuenta casi todas las semanas, así que verifique las etiquetas para obtener la última versión estable que admita su implementación.

Si tiene que esperar a que se aplique el parche, descubra lo que está haciendo. N8N_TOKEN_EXCHANGE_TRUSTED_KEYS contiene claves de firma confiables y otro indicador de vista previa controla si el intercambio de tokens está activado. Limítelo a un único editor confiable o desactive la función.

Las recomendaciones describen ambas como medidas a corto plazo y dicen que ninguna remediará completamente el riesgo. Esto es un texto repetitivo y es lo mismo en al menos otras tres recomendaciones de N8N, incluida la recomendación del 10 de junio. Debido a la declaración de alcance única de n8n, los casos en los que el intercambio de tokens está desactivado no se ven afectados.

Ninguna nota de la versión menciona ninguna corrección. Hacker News comprobó ambos. Los registros de cambios para 2.27.4 y 2.28.1 incluyen correcciones de importación de Python, actualizaciones de nodos de Google Ads, comprobaciones del flujo de trabajo de IA y cambios en la construcción de nodos, pero nada sobre las ID.

La recomendación es dónde vive esta persona. Si las decisiones de actualización se toman basándose en registros de cambios, este es el tipo de solución que pasará desapercibida.


Source link

#BlockchainIdentidad #Ciberseguridad #ÉticaDigital #IdentidadDigital #Privacidad #ProtecciónDeDatos
Follow on Google News Follow on Flipboard
Share. Facebook Twitter Pinterest LinkedIn Tumblr Email Copy Link
Previous ArticleEl nuevo malware TELEPUZ se propaga a través de ClickFix, roba datos y ejecuta comandos
corp@blsindustriaytecnologia.com
  • Website

Related Posts

El nuevo malware TELEPUZ se propaga a través de ClickFix, roba datos y ejecuta comandos

julio 16, 2026

El nuevo ladrón ClickLock para macOS elimina aplicaciones cada 210 milisegundos hasta que la víctima ingresa la contraseña

julio 16, 2026

Una falla sin parchear en la aspiradora Shark podría permitir a los atacantes controlar otras aspiradoras en toda la región

julio 16, 2026
Add A Comment
Leave A Reply Cancel Reply

el último

Una falla en el intercambio de tokens n8n podría permitir a un atacante iniciar sesión como usuario de otro emisor

El nuevo malware TELEPUZ se propaga a través de ClickFix, roba datos y ejecuta comandos

El nuevo ladrón ClickLock para macOS elimina aplicaciones cada 210 milisegundos hasta que la víctima ingresa la contraseña

El sistema de seguimiento de incendios forestales impulsado por IA permite el seguimiento de incendios por satélite en tiempo real

Publicaciones de tendencia

Suscríbete a las noticias

Suscríbete a nuestro boletín informativo y no te pierdas nuestras últimas noticias.

Suscríbete a mi boletín informativo para recibir nuevas publicaciones y consejos. ¡Manténgase al día!

Noticias Fyself es un medio digital dedicado a brindar información actualizada, precisa y relevante sobre los temas que están moldeando el futuro: economía, tecnología, startups, invenciones, sostenibilidad y fintech.

el último

TwinH Presenta una Tecnología Revolucionaria para Cocinas Inteligentes

¡Conoce a tu gemelo digital! La IA de vanguardia de Europa que está personalizando la medicina

TwinH: El cambio de juego de la IA para servicios legales más rápidos y accesibles

Facebook X (Twitter) Instagram Pinterest YouTube
  • Home
  • Contáctenos
  • DMCA
  • Política de Privacidad
  • Sobre Nosotros
  • Términos y Condiciones
  • 📢 Anúnciate con Nosotros
  • Enviar publicaciones
© 2026 noticias.fyself. Designed by noticias.fyself.

Escribe arriba y pulsa Enter para buscar. Pulsa Esc para cancelar.