CVE-2026-54310
n8n: SQL Injection in Postgres v1/TimesclaeDB Nodes
En resumen
La plataforma n8n de automatización de flujos permite que usuarios autenticados inyecten y ejecuten comandos SQL arbitrarios mediante parámetros manipulados en los nodos TimescaleDB y Postgres v1, comprometiendo potencialmente la base de datos conectada.
Detalle técnico
Vulnerabilidad de inyección SQL en los nodos TimescaleDB y Postgres v1 de n8n explotable por creadores/modificadores de flujos autenticados a través de entrada de parámetros no sanitizada; ejecución limitada a los privilegios de la cuenta de base de datos configurada; corregida en las versiones 2.25.7 y 2.26.2.
Resumen generado y traducido por IA a partir de la descripción oficial.
n8n is an open source workflow automation platform. Prior to 2.25.7 and 2.26.2, an authenticated user with permission to create or modify workflows could supply a crafted parameters to the TimescaleDB and/or legacy Postgres v1 node's allowing arbitrary SQL to be injected and executed against the connected database within the privileges of the configured database account. This vulnerability is fixed in 2.25.7 and 2.26.2.
CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:N/VA:N/SC:H/SI:H/SA:H
Productos afectados
n8n-io · n8n¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →