CVE-2026-33696 in n8n
Résumé
par VulDB • 14/05/2026
n8n est une plateforme d'automatisation des workflows open source. Avant les versions 2.14.1, 2.13.3 et 1.123.27, un utilisateur authentifié disposant des autorisations de création ou de modification de workflows pouvait exploiter une vulnérabilité de pollution de prototype dans les nœuds XML et GSuiteAdmin. En fournissant des paramètres manipulés dans la configuration du nœud, un attaquant pouvait écrire des valeurs contrôlées par l'attaquant sur `Object.prototype`. Un attaquant pouvait utiliser cette pollution de prototype pour obtenir une exécution de code à distance (RCE) sur l'instance n8n. Le problème a été corrigé dans les versions n8n 2.14.1, 2.13.3 et 1.123.27. Les utilisateurs doivent mettre à niveau vers l'une de ces versions ou une version ultérieure pour remédier à la vulnérabilité. Si la mise à niveau n'est pas immédiatement possible, les administrateurs devraient envisager les atténuations temporaires suivantes : limiter les autorisations de création et de modification de workflows aux utilisateurs entièrement de confiance, et/ou désactiver le nœud XML en ajoutant `n8n-nodes-base.xml` à la variable d'environnement `NODES_EXCLUDE`. Ces contournements ne remédient pas entièrement au risque et ne doivent être utilisés que comme mesures d'atténuation à court terme.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.