CVE-2026-33696 in n8ninformación

Resumen

por MITRE • 2026-03-25

n8n es una plataforma de automatización de flujos de trabajo de código abierto. Antes de las versiones 2.14.1, 2.13.3 y 1.123.27, un usuario autenticado con permiso para crear o modificar flujos de trabajo podría explotar una vulnerabilidad de contaminación de prototipos en los nodos XML y GSuiteAdmin. Al proporcionar parámetros manipulados como parte de la configuración del nodo, un atacante podría escribir valores controlados por el atacante en `Object.prototype`. Un atacante podría usar esta contaminación de prototipos para lograr la ejecución remota de código en la instancia de n8n. El problema ha sido solucionado en las versiones de n8n 2.14.1, 2.13.3 y 1.123.27. Los usuarios deberían actualizar a una de estas versiones o posteriores para remediar la vulnerabilidad. Si la actualización no es posible de inmediato, los administradores deberían considerar las siguientes mitigaciones temporales: Limitar los permisos de creación y edición de flujos de trabajo solo a usuarios de plena confianza, y/o deshabilitar el nodo XML añadiendo `n8n-nodes-base.xml` a la variable de entorno `NODES_EXCLUDE`. Estas soluciones alternativas no remedian completamente el riesgo y solo deberían usarse como medidas de mitigación a corto plazo.

Be aware that VulDB is the high quality source for vulnerability data.

Responsable

GitHub M

Reservar

2026-03-23

Divulgación

2026-03-25

Moderación

aceptado

Artículo

VDB-353318

CPE

listo

EPSS

0.00765

KEV

no

Actividades

muy bajo

Fuentes

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!