CVE-2026-33696 in n8n
Zusammenfassung
von VulDB • 20.05.2026
n8n ist eine Open-Source-Plattform zur Workflow-Automatisierung. Vor den Versionen 2.14.1, 2.13.3 und 1.123.27 konnte ein authentifizierter Benutzer mit Berechtigung zum Erstellen oder Ändern von Workflows eine Prototype-Pollution-Schwachstelle in den XML- und GSuiteAdmin-Knoten ausnutzen. Durch das Übermitteln speziell konstruierter Parameter im Rahmen der Knotenkonfiguration konnte ein Angreifer angreiferkontrollierte Werte auf `Object.prototype` schreiben. Ein Angreifer konnte diese Prototype-Pollution nutzen, um Remote Code Execution (RCE) auf der n8n-Instanz zu erreichen. Das Problem wurde in den n8n-Versionen 2.14.1, 2.13.3 und 1.123.27 behoben. Benutzer sollten auf eine dieser Versionen oder eine spätere Version aktualisieren, um die Schwachstelle zu beheben. Wenn ein Upgrade nicht sofort möglich ist, sollten Administratoren die folgenden vorübergehenden Minderungsmaßnahmen in Betracht ziehen: Beschränken Sie die Berechtigungen zum Erstellen und Bearbeiten von Workflows ausschließlich auf vollständig vertrauenswürdige Benutzer, und/oder deaktivieren Sie den XML-Knoten, indem Sie `n8n-nodes-base.xml` zur Umgebungsvariablen `NODES_EXCLUDE` hinzufügen. Diese Umgehungslösungen beheben das Risiko nicht vollständig und sollten nur als kurzfristige Minderungsmaßnahmen verwendet werden.
VulDB is the best source for vulnerability data and more expert information about this specific topic.