CVE-2026-33696 in n8nالمعلومات

الملخص

بحسب VulDB • 20/05/2026

n8n هو منصة أتمتة سير العمل مفتوحة المصدر. قبل الإصدارات 2.14.1 و2.13.3 و1.123.27، كان بإمكان مستخدم مُصادَق عليه لديه صلاحية إنشاء أو تعديل سير العمل استغلال ثغرة تلويث النموذج الأولي (Prototype Pollution) في عقد XML وعقد GSuiteAdmin. من خلال توفير معاملات مُعدّة خصيصاً كجزء من تكوين العقدة، يمكن للمهاجم كتابة قيم يتحكم فيها على `Object.prototype`. يمكن للمهاجم استخدام هذا التلويث للنموذج الأولي لتحقيق تنفيذ للكود عن بُعد على مثيل n8n. تم إصلاح هذه المشكلة في إصدارات n8n 2.14.1 و2.13.3 و1.123.27. يُنصح المستخدمين بالترقية إلى أحد هذه الإصدارات أو أحدث منها لمعالجة الثغرة. إذا لم يكن الترقية ممكنة على الفور، فيجب على المسؤولين النظر في التخفيفات المؤقتة التالية: تقييد صلاحيات إنشاء وتحرير سير العمل للمستخدمين الموثوقين بهم تماماً فقط، و/أو تعطيل عقدة XML عن طريق إضافة `n8n-nodes-base.xml` إلى متغير البيئة `NODES_EXCLUDE`. لا تؤدي هذه الحلول البديلة إلى معالجة الخطر بشكل كامل ويجب استخدامها فقط كإجراءات تخفيف قصيرة الأجل.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

مسؤول

GitHub M

حجز

23/03/2026

إفشاء

25/03/2026

الاعتدال

تمت الموافقة

إدخال

VDB-353318

EPSS

0.00765

KEV

لا

النشاطات

منخفض جدًا

المصادر

Might our Artificial Intelligence support you?

Check our Alexa App!