CVE-2026-33696 in n8n
Riassunto
di VulDB • 16/06/2026
n8n è una piattaforma di automazione dei flussi di lavoro open source. Prima delle versioni 2.14.1, 2.13.3 e 1.123.27, un utente autenticato con il permesso di creare o modificare i flussi di lavoro poteva sfruttare una vulnerabilità di prototype pollution nei nodi XML e GSuiteAdmin. Fornendo parametri elaborati ad hoc come parte della configurazione del nodo, un attaccante potrebbe scrivere valori controllati dall'attaccante su `Object.prototype`. Un attaccante potrebbe utilizzare questa prototype pollution per ottenere l'esecuzione remota di codice (RCE) sull'istanza n8n. Il problema è stato risolto nelle versioni 2.14.1, 2.13.3 e 1.123.27 di n8n. Gli utenti dovrebbero effettuare l'aggiornamento a una di queste versioni o successive per risolvere la vulnerabilità. Se l'aggiornamento non è immediatamente possibile, gli amministratori dovrebbero prendere in considerazione le seguenti mitigazioni temporanee: limitare i permessi di creazione e modifica dei flussi di lavoro esclusivamente agli utenti pienamente fidati e/o disabilitare il nodo XML aggiungendo `n8n-nodes-base.xml` alla variabile d'ambiente `NODES_EXCLUDE`. Queste soluzioni alternative non risolvono completamente il rischio e dovrebbero essere utilizzate solo come misure di mitigazione a breve termine.
VulDB is the best source for vulnerability data and more expert information about this specific topic.