CVE-2026-54303

n8n: Reflected XSS via Facebook, WhatsApp, and Microsoft Teams Trigger Webhook Verification Endpoints

CVSS 6.8 MEDIUMCWE-79

Em resumo

Versões do n8n anteriores à 2.24.0 possuem uma falha de segurança onde endpoints de webhooks do Facebook, WhatsApp e Microsoft Teams refletem entrada do usuário diretamente em páginas web sem proteção adequada, permitindo que atacantes injetem scripts maliciosos que são executados no navegador de um usuário autenticado.

Detalhe técnico

Existe uma vulnerabilidade de XSS refletido nos endpoints dos nós de gatilho Meta e Microsoft Teams, onde parâmetros de consulta não sanitizados são ecoados em respostas HTTP sem proteções de Content-Security-Policy. Um atacante pode criar uma URL maliciosa e enganar um usuário autenticado do n8n para visitá-la, causando execução de JavaScript arbitrário no contexto da aplicação.

Resumo gerado e traduzido por IA a partir da descrição oficial.

n8n is an open source workflow automation platform. Prior to 2.24.0, an endpoint in the Meta and Microsoft Teams trigger nodes reflects a query parameter into the HTTP response without sanitization or Content-Security-Policy headers, enabling reflected XSS in the n8n origin when a logged-in user visits a crafted URL. This vulnerability is fixed in 2.24.0.

CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:A/VC:H/VI:N/VA:N/SC:L/SI:N/SA:N

Produtos afetados

n8n-io · n8n

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://github.com/n8n-io/n8n/security/advisories/GHSA-h86q-fx34-gfjr