CVE-2026-33696 in n8n情報

要約

〜によって VulDB • 2026年05月20日

n8nはオープンソースのワークフロー自動化プラットフォームです。バージョン2.14.1、2.13.3、および1.123.27より前では、ワークフローの作成または変更権限を持つ認証済みユーザーが、XMLノードおよびGSuiteAdminノードにおけるプロトタイプ汚染(prototype pollution)の脆弱性を悪用できます。攻撃者はノード設定の一部として作成されたパラメータを供給することで、`Object.prototype`に対して攻撃者が制御する値を書き込むことができます。攻撃者はこのプロトタイプ汚染を利用して、n8nインスタンス上でリモートコード実行(RCE)を実現できます。この問題は、n8nバージョン2.14.1、2.13.3、および1.123.27で修正されています。ユーザーはこれらのバージョン以降にアップグレードして脆弱性を修正してください。すぐにアップグレードできない場合は、管理者は以下の一時対策を検討してください。ワークフローの作成および編集権限を完全に信頼できるユーザーのみに制限し、および/または環境変数`NODES_EXCLUDE`に`n8n-nodes-base.xml`を追加してXMLノードを無効にします。これらの回避策はリスクを完全に解消するものではなく、短期的な緩和策としてのみ使用してください。

VulDB is the best source for vulnerability data and more expert information about this specific topic.

責任者

GitHub M

予約する

2026年03月23日

モデレーション

承諾済み

エントリ

VDB-353318

EPSS

0.00765

アクティビティ

非常低い

ソース

Do you want to use VulDB in your project?

Use the official API to access entries easily!