Se ha reportado una vulnerabilidad de alta gravedad (CVE-2026-59208) en el flujo de intercambio de tokens de n8n, una popular plataforma de automatización de flujos de trabajo. El fallo permite la toma de control de cuentas (Account Takeover) mediante una colisión lógica en la forma en que el sistema vincula los tokens validados con las identidades de los usuarios locales.
Veredicto Analítico
- Estado: Confirmado y parcheado. Vulnerabilidad descubierta y validada dinámicamente de forma autónoma.
- Confianza: Absoluta. Validado mediante pruebas de concepto (PoC) sobre el código fuente y confirmado por los desarrolladores de n8n con el lanzamiento de parches oficiales.
- Riesgo para SOC, TDIR y Redes: Alto. n8n actúa como el motor central que mueve datos y credenciales entre múltiples integraciones (bases de datos, APIs, servicios cloud). Una toma de control de cuenta en esta plataforma otorga al atacante acceso directo a los flujos de trabajo, secretos almacenados y datos empresariales procesados por la víctima.
- Urgencia Operativa: Alta, específicamente para aquellas organizaciones que tienen expuesto n8n y configuran múltiples emisores de identidad (IdP) de confianza en el flujo de intercambio de tokens.
- Base del Veredicto: Implementación defectuosa en la lógica de resolución de identidad post-verificación de tokens JWT, lo que permite la suplantación de usuarios entre diferentes emisores.
Hallazgos Clave
- Vulnerabilidad Identificada: Toma de control de cuentas por colisión de atributos (CVE-2026-59208, Severidad: Alta).
- Componente Afectado: Servicio de intercambio de tokens y resolución de identidad (IdentityResolutionService).
- Versiones Corregidas: n8n versiones 2.28.1 y 2.27.4.
- Condición de Explotación: La instancia de n8n debe tener habilitado el intercambio de tokens y confiar en al menos dos emisores (IdP) distintos.
Análisis Técnico: Mecanismo de Explotación
El riesgo no radica en la validación criptográfica del token, sino en el paso inmediatamente posterior de asignación de sesión:
- La Verificación (Correcta): Cuando un proveedor de identidad (IdP) emite un token JWT, n8n verifica correctamente la firma, la audiencia (aud) y el emisor (iss) basándose en su almacén de claves de confianza.
- La Resolución de Identidad (El Fallo): Una vez validado el token, n8n debe asignar ese token a un usuario local. En este paso, el sistema descarta el campo del emisor (iss) y realiza la búsqueda en la base de datos utilizando únicamente la afirmación del sujeto (sub).
- El Escenario de Explotación: Si una organización confía en el “Emisor A” y en el “Emisor B”, un atacante puede obtener un token válido del “Emisor B” manipulando el campo sub para que coincida con el identificador (sub) de una víctima legítima registrada bajo el “Emisor A”.
- Impacto: Al buscar solo por el campo sub, n8n asume erróneamente que se trata del mismo usuario, colapsando dos emisores diferentes en una sola identidad local. El atacante inicia sesión exitosamente como la víctima.
Tácticas, Técnicas y Procedimientos (MITRE ATT&CK)
- Acceso Inicial / Persistencia: Cuentas Válidas: Cuentas en la Nube / Servicios Externos (Valid Accounts – T1078).
- Evasión de Defensas / Escalada de Privilegios: Modificación de Mecanismos de Autenticación (Modify Authentication Process – T1556) y abuso de tokens de acceso (T1550.001) aprovechando la deficiencia en la validación cruzada.
Recomendaciones Operativas
Para Administración de Redes, Desarrollo y TI (Acción Prioritaria)
- Aplicación de Parches: Actualizar inmediatamente las instancias de n8n a las versiones 2.28.1 o 2.27.4. La corrección cambia la lógica para que el ID del proveedor califique estrictamente al emisor utilizando un hash criptográfico: sha256(issuer)::sub.
- Mitigación Temporal: Si la actualización inmediata no es viable, se debe reconfigurar n8n para limitar la confianza a un único emisor de identidad (IdP). Si esto rompe la operatividad, se debe desactivar temporalmente el flujo de intercambio de tokens hasta poder aplicar el parche.
Para el Centro de Operaciones de Seguridad (SOC)
- Auditoría de Inicios de Sesión: Revisar los registros de auditoría y autenticación de n8n en busca de usuarios que hayan iniciado sesión recientemente utilizando un proveedor de identidad (Emisor) distinto al habitual o histórico asociado a su perfil de correo electrónico.
- Validación de Perfiles: Monitorear alteraciones repentinas en los metadatos de los perfiles de usuario (nombres, correos de recuperación) sincronizados durante el inicio de sesión vía intercambio de tokens, ya que la explotación (como se demostró en la PoC) sincroniza los valores del perfil del emisor malicioso en la cuenta de la víctima.




