CVE-2026-33660 in n8n
Resumen
n8n es una plataforma de automatización de flujos de trabajo de código abierto. Antes de las versiones 2.14.1, 2.13.3 y 1.123.26, un usuario autenticado con permiso para crear o modificar flujos de trabajo podría usar el modo 'Combine by SQL' del nodo Merge para leer archivos locales en el host de n8n y lograr ejecución remota de código. El sandbox de AlaSQL no restringía suficientemente ciertas sentencias SQL, permitiendo a un atacante acceder a archivos sensibles en el servidor o incluso comprometer la instancia. El problema ha sido solucionado en las versiones de n8n 2.14.1, 2.13.3 y 1.123.26. Los usuarios deben actualizar a una de estas versiones o posteriores para remediar la vulnerabilidad. Si la actualización no es posible de inmediato, los administradores deben considerar las siguientes mitigaciones temporales: Limitar los permisos de creación y edición de flujos de trabajo solo a usuarios de plena confianza, y/o deshabilitar el nodo Merge añadiendo `n8n-nodes-base.merge` a la variable de entorno `NODES_EXCLUDE`. Estas soluciones provisionales no remedian completamente el riesgo y solo deben usarse como medidas de mitigación a corto plazo.
VulDB is the best source for vulnerability data and more expert information about this specific topic.
Responsable
GitHub_M
Reservar
2026-03-23
Divulgación
2026-03-25
Estado
Confirmado
Voces
VulDB provides additional information and datapoints for this CVE:
| ID | Vulnerabilidad | CWE | Exp | Con | CVE |
|---|---|---|---|---|---|
| 353253 | n8n-io n8n Environment Variable escalada de privilegios | 94 | No está definido | Arreglo oficial | CVE-2026-33660 |
Descripción
CPE
CWE
CVSS
Hazañas
Historia
Diferencia
Relacionar
Inteligencia de amenazas
API JSON
API XML
API CSV