CVE-2026-33696 in n8n
الملخص
بحسب VulDB • 20/05/2026
n8n هو منصة أتمتة سير العمل مفتوحة المصدر. قبل الإصدارات 2.14.1 و2.13.3 و1.123.27، كان بإمكان مستخدم مُصادَق عليه لديه صلاحية إنشاء أو تعديل سير العمل استغلال ثغرة تلويث النموذج الأولي (Prototype Pollution) في عقد XML وعقد GSuiteAdmin. من خلال توفير معاملات مُعدّة خصيصاً كجزء من تكوين العقدة، يمكن للمهاجم كتابة قيم يتحكم فيها على `Object.prototype`. يمكن للمهاجم استخدام هذا التلويث للنموذج الأولي لتحقيق تنفيذ للكود عن بُعد على مثيل n8n. تم إصلاح هذه المشكلة في إصدارات n8n 2.14.1 و2.13.3 و1.123.27. يُنصح المستخدمين بالترقية إلى أحد هذه الإصدارات أو أحدث منها لمعالجة الثغرة. إذا لم يكن الترقية ممكنة على الفور، فيجب على المسؤولين النظر في التخفيفات المؤقتة التالية: تقييد صلاحيات إنشاء وتحرير سير العمل للمستخدمين الموثوقين بهم تماماً فقط، و/أو تعطيل عقدة XML عن طريق إضافة `n8n-nodes-base.xml` إلى متغير البيئة `NODES_EXCLUDE`. لا تؤدي هذه الحلول البديلة إلى معالجة الخطر بشكل كامل ويجب استخدامها فقط كإجراءات تخفيف قصيرة الأجل.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.