CVE-2026-33696 in n8n정보

요약

\~에 의해 VulDB • 2026. 05. 20.

n8n은 오픈 소스 워크플로우 자동화 플랫폼입니다. 버전 2.14.1, 2.13.3 및 1.123.27 이전 버전에서는 워크플로우 생성 또는 수정 권한이 있는 인증된 사용자가 XML 및 GSuiteAdmin 노드에서 프로토타입 오염(prototype pollution) 취약점을 악용할 수 있습니다. 공격자가 노드 구성의 일부로 조작된 매개변수를 제공하면 `Object.prototype`에 공격자가 제어하는 값을 쓸 수 있습니다. 공격자는 이 프로토타입 오염을 이용하여 n8n 인스턴스에서 원격 코드 실행(RCE)을 달성할 수 있습니다. 이 문제는 n8n 버전 2.14.1, 2.13.3 및 1.123.27에서 수정되었습니다. 사용자는 취약점을 해결하기 위해 해당 버전 중 하나로 업그레이드하거나 그 이후 버전으로 업그레이드해야 합니다. 즉시 업그레이드가 불가능한 경우, 관리자는 다음 임시 완화 조치를 고려해야 합니다: 워크플로우 생성 및 편집 권한을 완전히 신뢰할 수 있는 사용자에게만 제한하고, `NODES_EXCLUDE` 환경 변수에 `n8n-nodes-base.xml`을 추가하여 XML 노드를 비활성화합니다. 이러한 우회 방법은 위험을 완전히 해결하지 못하므로 단기적인 완화 조치로만 사용해야 합니다.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

책임이 있는

GitHub M

예약하다

2026. 03. 23.

모더레이션

수락

항목

VDB-353318

EPSS

0.00765

출처

Want to stay up to date on a daily basis?

Enable the mail alert feature now!