CVE-2026-33713 in n8nالمعلومات

الملخص

بحسب VulDB • 22/05/2026

n8n هو منصة أتمتة سير العمل مفتوحة المصدر. قبل الإصدارات 2.14.1 و2.13.3 و1.123.26، كان بإمكان المستخدم المصادق عليه والذي يمتلك صلاحية إنشاء أو تعديل سير العمل استغلال ثغرة حقن SQL في عقدة "Data Table Get". في قاعدة بيانات SQLite الافتراضية، يمكن التلاعب بالاستعلامات الفردية، مما يحد من سطح الهجوم عملياً. أما في عمليات النشر التي تستخدم PostgreSQL، فيمكن تنفيذ استعلامات متعددة، مما يتيح تعديل وحذف البيانات. تم إصلاح هذه المشكلة في إصدارات n8n 1.123.26 و2.13.3 و2.14.1. يُنصح المستخدمين بالترقية إلى أحد هذه الإصدارات أو أحدث منها لتصحيح الثغرة. إذا لم يكن الترقية ممكنة على الفور، فيجب على المسؤولين النظر في إجراءات التخفيف المؤقتة التالية: تقييد صلاحيات إنشاء وسير العمل للمستخدمين الموثوقين بهم تماماً، وتعطيل عقدة Data Table عن طريق إضافة `n8n-nodes-base.dataTable` إلى متغير البيئة `NODES_EXCLUDE`، و/أو مراجعة سير العمل الحالية بحثاً عن عقدة "Data Table Get" حيث تكون `orderByColumn` مضبوطة على تعبير يتضمن مدخلاً خارجياً أو مدخلاً قدمه المستخدم. لا تؤدي هذه الحلول البديلة إلى معالجة الخطر بشكل كامل ويجب استخدامها فقط كإجراءات تخفيف قصيرة الأجل.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

23/03/2026

إفشاء

25/03/2026

الاعتدال

تمت الموافقة

إدخال

VDB-353314

CPE

جاهز

CWE

CWE-89 (مؤكد)

CVSS

8.8 (NVD)

EPSS

0.00023

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-33713
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-33713
CVE Details	https://www.cvedetails.com/cve/CVE-2026-33713/

التالي ▸نظرة عامة ◂ السابق

Want to stay up to date on a daily basis?

Enable the mail alert feature now!