CVE-2026-54303

n8n: Reflected XSS via Facebook, WhatsApp, and Microsoft Teams Trigger Webhook Verification Endpoints

CVSS 6.8 MEDIUMCWE-79

En resumen

Las versiones de n8n anteriores a la 2.24.0 tienen una falla de seguridad donde los endpoints de webhooks de Facebook, WhatsApp y Microsoft Teams reflejan la entrada del usuario directamente en páginas web sin protección adecuada, permitiendo que atacantes inyecten scripts maliciosos que se ejecutan en el navegador de un usuario autenticado.

Detalle técnico

Existe una vulnerabilidad de XSS reflejado en los endpoints de los nodos de desencadenador Meta y Microsoft Teams, donde parámetros de consulta sin sanitizar se repiten en respuestas HTTP sin protecciones de Content-Security-Policy. Un atacante puede crear una URL maliciosa y engañar a un usuario autenticado de n8n para visitarla, causando la ejecución de JavaScript arbitrario en el contexto de la aplicación.

Resumen generado y traducido por IA a partir de la descripción oficial.

n8n is an open source workflow automation platform. Prior to 2.24.0, an endpoint in the Meta and Microsoft Teams trigger nodes reflects a query parameter into the HTTP response without sanitization or Content-Security-Policy headers, enabling reflected XSS in the n8n origin when a logged-in user visits a crafted URL. This vulnerability is fixed in 2.24.0.

CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:A/VC:H/VI:N/VA:N/SC:L/SI:N/SA:N

Productos afectados

n8n-io · n8n

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://github.com/n8n-io/n8n/security/advisories/GHSA-h86q-fx34-gfjr