CVE-2026-54314
n8n: Denial of Service via ZIP decompression in webhook workflow
En resumen
El nodo Compression de n8n permite que atacantes envíen archivos ZIP malformados a webhooks públicos, causando consumo excesivo de memoria y bloqueo del servidor. Esto afecta todos los flujos de trabajo en la misma instancia.
Detalle técnico
CWE-409 (Restricción Inadecuada de Capas o Marcos de IU Renderizada): La operación Decompress en el nodo Compression de n8n carece de límites de tamaño de descompresión, permitiendo ataques de bomba zip. Un atacante no autenticado puede explotar webhooks públicos enviando un archivo comprimido pequeño que se expande a tamaños enormes en memoria, provocando denegación de servicio por agotamiento de recursos en toda la instancia n8n.
Resumen generado y traducido por IA a partir de la descripción oficial.
n8n is an open source workflow automation platform. Prior to 2.24.0, the Compression node's Decompress operation expanded attacker-controlled archives into memory without enforcing limits on decompressed output size. An unauthenticated attacker could send a small compressed archive to a public webhook workflow using this node, causing the n8n process to terminate due to memory exhaustion and disrupting all workflows in the same instance. This vulnerability is fixed in 2.24.0.
CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N
Productos afectados
n8n-io · n8n¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →