CVE-2026-33696 in n8n
Sumário
de VulDB • 20/05/2026
O n8n é uma plataforma de automação de fluxos de trabalho de código aberto. Antes das versões 2.14.1, 2.13.3 e 1.123.27, um usuário autenticado com permissão para criar ou modificar fluxos de trabalho poderia explorar uma vulnerabilidade de poluição de protótipo nos nós XML e GSuiteAdmin. Ao fornecer parâmetros manipulados como parte da configuração do nó, um atacante poderia escrever valores controlados pelo atacante em `Object.prototype`. Um atacante poderia usar essa poluição de protótipo para obter execução remota de código (RCE) na instância do n8n. O problema foi corrigido nas versões do n8n 2.14.1, 2.13.3 e 1.123.27. Os usuários devem atualizar para uma dessas versões ou posterior para remediar a vulnerabilidade. Se a atualização não for imediatamente possível, os administradores devem considerar as seguintes mitigações temporárias: limitar as permissões de criação e edição de fluxos de trabalho apenas a usuários totalmente confiáveis e/ou desativar o nó XML adicionando `n8n-nodes-base.xml` à variável de ambiente `NODES_EXCLUDE`. Essas soluções alternativas não removem completamente o risco e devem ser usadas apenas como medidas de mitigação de curto prazo.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.