CVE-2026-33696 in n8ninformazioni

Riassunto

di VulDB • 16/06/2026

n8n è una piattaforma di automazione dei flussi di lavoro open source. Prima delle versioni 2.14.1, 2.13.3 e 1.123.27, un utente autenticato con il permesso di creare o modificare i flussi di lavoro poteva sfruttare una vulnerabilità di prototype pollution nei nodi XML e GSuiteAdmin. Fornendo parametri elaborati ad hoc come parte della configurazione del nodo, un attaccante potrebbe scrivere valori controllati dall'attaccante su `Object.prototype`. Un attaccante potrebbe utilizzare questa prototype pollution per ottenere l'esecuzione remota di codice (RCE) sull'istanza n8n. Il problema è stato risolto nelle versioni 2.14.1, 2.13.3 e 1.123.27 di n8n. Gli utenti dovrebbero effettuare l'aggiornamento a una di queste versioni o successive per risolvere la vulnerabilità. Se l'aggiornamento non è immediatamente possibile, gli amministratori dovrebbero prendere in considerazione le seguenti mitigazioni temporanee: limitare i permessi di creazione e modifica dei flussi di lavoro esclusivamente agli utenti pienamente fidati e/o disabilitare il nodo XML aggiungendo `n8n-nodes-base.xml` alla variabile d'ambiente `NODES_EXCLUDE`. Queste soluzioni alternative non risolvono completamente il rischio e dovrebbero essere utilizzate solo come misure di mitigazione a breve termine.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsabile

GitHub M

Prenotare

23/03/2026

Divulgazione

25/03/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00765

KEV

no

Attività

molto basso

Fonti

Might our Artificial Intelligence support you?

Check our Alexa App!