CVE-2026-54314
n8n: Denial of Service via ZIP decompression in webhook workflow
Em resumo
O nó Compression do n8n permite que atacantes enviem arquivos ZIP malformados para webhooks públicos, causando consumo excessivo de memória e travamento do servidor. Isso afeta todos os fluxos de trabalho na mesma instância.
Detalhe técnico
CWE-409 (Restrição Inadequada de Camadas ou Frames da UI Renderizada): A operação Decompress no nó Compression do n8n não aplica limites de tamanho de descompactação, permitindo ataques de zip bomb. Um atacante não autenticado pode explorar webhooks públicos enviando um arquivo comprimido pequeno que se expande para tamanhos gigantescos em memória, provocando negação de serviço por esgotamento de recursos em toda a instância n8n.
Resumo gerado e traduzido por IA a partir da descrição oficial.
n8n is an open source workflow automation platform. Prior to 2.24.0, the Compression node's Decompress operation expanded attacker-controlled archives into memory without enforcing limits on decompressed output size. An unauthenticated attacker could send a small compressed archive to a public webhook workflow using this node, causing the n8n process to terminate due to memory exhaustion and disrupting all workflows in the same instance. This vulnerability is fixed in 2.24.0.
CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N
Produtos afetados
n8n-io · n8nQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →