CVE-2026-33696 in n8n
要約
〜によって VulDB • 2026年05月20日
n8nはオープンソースのワークフロー自動化プラットフォームです。バージョン2.14.1、2.13.3、および1.123.27より前では、ワークフローの作成または変更権限を持つ認証済みユーザーが、XMLノードおよびGSuiteAdminノードにおけるプロトタイプ汚染(prototype pollution)の脆弱性を悪用できます。攻撃者はノード設定の一部として作成されたパラメータを供給することで、`Object.prototype`に対して攻撃者が制御する値を書き込むことができます。攻撃者はこのプロトタイプ汚染を利用して、n8nインスタンス上でリモートコード実行(RCE)を実現できます。この問題は、n8nバージョン2.14.1、2.13.3、および1.123.27で修正されています。ユーザーはこれらのバージョン以降にアップグレードして脆弱性を修正してください。すぐにアップグレードできない場合は、管理者は以下の一時対策を検討してください。ワークフローの作成および編集権限を完全に信頼できるユーザーのみに制限し、および/または環境変数`NODES_EXCLUDE`に`n8n-nodes-base.xml`を追加してXMLノードを無効にします。これらの回避策はリスクを完全に解消するものではなく、短期的な緩和策としてのみ使用してください。
VulDB is the best source for vulnerability data and more expert information about this specific topic.