**Grave vulnerabilidad en n8n permite acceso indebido a cuentas por fallo en validación de JWT**
—
### Introducción
Una reciente vulnerabilidad crítica detectada en n8n, la popular plataforma de automatización de flujos de trabajo, ha dejado expuestas a las empresas que utilizan implementaciones Enterprise con autenticación federada. El fallo permite que usuarios autenticados con un proveedor externo obtengan acceso a cuentas ajenas por un defecto en la validación de tokens JWT (JSON Web Tokens). Este artículo analiza en profundidad el incidente, su alcance técnico, el impacto potencial y las medidas que los responsables de seguridad deben adoptar de inmediato.
—
### Contexto del Incidente
n8n se ha consolidado como una solución flexible y de código abierto para la automatización de procesos empresariales, integrando múltiples servicios mediante flujos visuales. Muchas organizaciones implementan la versión Enterprise de n8n en entornos donde confían en varios emisores de tokens externos (por ejemplo, Azure AD, Google, Okta) para la autenticación centralizada de usuarios. El incidente fue descubierto en entornos configurados para confiar simultáneamente en más de un emisor externo de JWT, una práctica recomendada para ecosistemas empresariales heterogéneos.
El problema radica en el proceso de asignación de cuentas locales a tokens JWT entrantes. El sistema únicamente comprobaba el valor del claim `sub` del token, omitiendo la comprobación del claim `iss` (issuer). Esto provocaba colisiones entre identidades de diferentes dominios de autenticación.
—
### Detalles Técnicos
#### Identificadores Afectados y Vectores de Ataque
– **CVE**: Se ha reservado el identificador CVE-2024-XXXX (pendiente de publicación oficial en NVD).
– **Versiones afectadas**: Implementaciones Enterprise de n8n con autenticación federada y múltiples emisores de JWT configurados.
– **Vector**: Autenticación web (OAUTH2 / OpenID Connect) mediante federación de identidades externas.
– **TTP MITRE ATT&CK**:
– *T1078 – Valid Accounts*
– *T1110 – Brute Force (en este caso, abuso de credenciales válidas por colisión de identidad)*
#### Funcionamiento del Exploit
El fallo reside en la función de validación de los JWT. Al recibir un token, n8n verificaba únicamente el claim `sub` (identificador de usuario dentro del emisor) para mapearlo a una cuenta local. Si dos emisores externos (por ejemplo, Okta y Azure AD) generan tokens con el mismo valor en `sub` para diferentes usuarios, el sistema concedía acceso a la cuenta local asociada a dicho `sub`, sin verificar que el claim `iss` (identificador del emisor) también coincidiera.
Un atacante con una cuenta legítima en uno de los proveedores externos podía solicitar un token válido y, si conocía el valor de `sub` de un usuario en otro proveedor, autenticarse como ese usuario en n8n, eludiendo por completo la contraseña y cualquier otro factor de autenticación adicional gestionado por el segundo proveedor.
#### IoC (Indicadores de Compromiso)
– Accesos exitosos con tokens JWT cuyo claim `iss` no corresponde al usuario local asociado.
– Logs de autenticación donde aparecen intentos de login desde diferentes dominios de identidad para un mismo usuario `sub`.
—
### Impacto y Riesgos
La explotación de esta vulnerabilidad permite el secuestro de cuentas (account takeover) sin necesidad de conocimiento de contraseñas o factores adicionales de autenticación, siempre que exista una colisión en el valor de `sub` entre dos emisores. En entornos empresariales donde se gestionan flujos críticos (automatización de procesos financieros, gestión documental, integraciones de datos sensibles), el riesgo es elevado:
– **Compromiso total** de cuentas de usuario y posibles escaladas de privilegios en n8n.
– **Acceso no autorizado** a integraciones externas (APIs, bases de datos, sistemas de terceros).
– **Exposición de datos confidenciales** y posibles brechas sujetas a GDPR y NIS2.
– **Impacto económico** significativo: la automatización de procesos críticos puede ser deturpada o interrumpida.
Según estimaciones preliminares, el porcentaje de instalaciones Enterprise potencialmente vulnerables asciende al 20-30% de los clientes empresariales que utilizan autenticación federada con múltiples emisores.
—
### Medidas de Mitigación y Recomendaciones
– **Actualizar** inmediatamente a la versión corregida de n8n (revisar changelogs oficiales para la versión Enterprise).
– **Revisar la configuración de autenticación externa**: asegurarse de que el mapeo de usuarios incluye tanto `sub` como `iss`.
– **Auditar los logs de acceso** en busca de actividades sospechosas, especialmente logins con tokens de emisores inesperados.
– **Implementar controles de monitorización** en el SIEM/SOC para detectar patrones anómalos de autenticación cruzada.
– **Revisar y redefinir políticas de federación**: evitar la reutilización de identificadores de usuario (`sub`) entre diferentes emisores si es posible.
– **Notificar posibles incidentes** a los responsables de protección de datos y cumplir con los plazos de reporte conforme a GDPR y NIS2.
—
### Opinión de Expertos
Especialistas en federación de identidades consultados subrayan la importancia de validar de manera conjunta los claims críticos del JWT, especialmente en entornos multi-issuer. «La omisión de `iss` en el proceso de resolución de cuentas es un error de diseño frecuente en implementaciones personalizadas de SSO, pero en plataformas de automatización como n8n puede tener consecuencias devastadoras», advierte un CISO de una empresa financiera. Los analistas recomiendan auditar regularmente las configuraciones de autenticación y no confiar únicamente en los valores por defecto de los frameworks.
—
### Implicaciones para Empresas y Usuarios
Las organizaciones afectadas deben asumir que existe la posibilidad de compromisos no detectados y revisar exhaustivamente los accesos históricos. La exposición de integraciones con sistemas críticos y datos sensibles eleva el riesgo de sanciones regulatorias y daño reputacional. A nivel de usuario, la confianza en los sistemas de autenticación federada se ve erosionada, lo que puede llevar a una reevaluación de los proveedores de identidad y los procedimientos de onboarding.
—
### Conclusiones
El incidente en n8n pone de manifiesto los peligros de una validación incompleta en la integración de autenticación federada. La rapidez en la detección, corrección y despliegue de actualizaciones será clave para limitar la superficie de ataque y evitar daños mayores. Se recomienda a todos los responsables de seguridad revisar sus instancias de n8n y aplicar las recomendaciones sin demora.
(Fuente: feeds.feedburner.com)
