CVE-2026-54313
n8n: NoSQL Injection in MongoDB Node Find And Replace Operation
En resumen
Un usuario que puede editar flujos de trabajo en n8n puede inyectar código malicioso en consultas MongoDB a través de la operación Find And Replace, permitiendo modificar documentos a los que no debería tener acceso.
Detalle técnico
Vulnerabilidad de inyección NoSQL en el nodo MongoDB de n8n en la operación Find And Replace, donde los valores de filtro suministrados por el usuario se pasan sin validación a las consultas MongoDB. Un usuario autenticado con permisos de edición de flujo de trabajo puede manipular el filtro de consulta para hacer coincidir documentos no previstos y sobrescribirlos con datos controlados por el atacante, eludiendo los controles de acceso.
Resumen generado y traducido por IA a partir de la descripción oficial.
n8n is an open source workflow automation platform. Prior to 2.24.0, an authenticated user with workflow edit access could supply a malicious filter value in the MongoDB node's Find And Replace operation. The value was not validated before being passed to MongoDB as a query filter, allowing unintended documents to be matched and overwritten with attacker-controlled content. This vulnerability is fixed in 2.24.0.
CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:N/VA:N/SC:H/SI:H/SA:H
Productos afectados
n8n-io · n8n¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →