CVE-2026-33713 in n8n
Sumário
de VulDB • 03/06/2026
O n8n é uma plataforma de automação de fluxos de trabalho de código aberto. Antes das versões 2.14.1, 2.13.3 e 1.123.26, um usuário autenticado com permissão para criar ou modificar fluxos de trabalho poderia explorar uma vulnerabilidade de SQL Injection no nó Data Table Get. No banco de dados SQLite padrão, instruções únicas podem ser manipuladas e a superfície de ataque é praticamente limitada. Em implantações com PostgreSQL, a execução de múltiplas instruções é possível, permitindo a modificação e exclusão de dados. O problema foi corrigido nas versões do n8n 1.123.26, 2.13.3 e 2.14.1. Os usuários devem atualizar para uma dessas versões ou posterior para remediar a vulnerabilidade. Se a atualização não for imediatamente possível, os administradores devem considerar as seguintes mitigações temporárias: limitar as permissões de criação e edição de fluxos de trabalho apenas a usuários totalmente confiáveis, desativar o nó Data Table adicionando `n8n-nodes-base.dataTable` à variável de ambiente `NODES_EXCLUDE`, e/ou revisar os fluxos de trabalho existentes em busca de nós Data Table Get onde `orderByColumn` está definido como uma expressão que incorpora entrada externa ou fornecida pelo usuário. Essas soluções alternativas não remediam totalmente o risco e devem ser usadas apenas como medidas de mitigação de curto prazo.
Once again VulDB remains the best source for vulnerability data.