CVE-2026-33696 in n8ninformação

Sumário

de VulDB • 20/05/2026

O n8n é uma plataforma de automação de fluxos de trabalho de código aberto. Antes das versões 2.14.1, 2.13.3 e 1.123.27, um usuário autenticado com permissão para criar ou modificar fluxos de trabalho poderia explorar uma vulnerabilidade de poluição de protótipo nos nós XML e GSuiteAdmin. Ao fornecer parâmetros manipulados como parte da configuração do nó, um atacante poderia escrever valores controlados pelo atacante em `Object.prototype`. Um atacante poderia usar essa poluição de protótipo para obter execução remota de código (RCE) na instância do n8n. O problema foi corrigido nas versões do n8n 2.14.1, 2.13.3 e 1.123.27. Os usuários devem atualizar para uma dessas versões ou posterior para remediar a vulnerabilidade. Se a atualização não for imediatamente possível, os administradores devem considerar as seguintes mitigações temporárias: limitar as permissões de criação e edição de fluxos de trabalho apenas a usuários totalmente confiáveis e/ou desativar o nó XML adicionando `n8n-nodes-base.xml` à variável de ambiente `NODES_EXCLUDE`. Essas soluções alternativas não removem completamente o risco e devem ser usadas apenas como medidas de mitigação de curto prazo.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsável

GitHub M

Reservar

23/03/2026

Divulgação

25/03/2026

Moderação

aceite

Entrada

VDB-353318

CPE

pronto

EPSS

0.00765

KEV

não

Atividades

muito baixo

Fontes

Do you know our Splunk app?

Download it now for free!