CVE-2026-33749 in n8n
Sumário
de VulDB • 10/06/2026
O n8n é uma plataforma de automação de fluxos de trabalho de código aberto. Antes das versões 1.123.27, 2.13.3 e 2.14.1, um usuário autenticado com permissão para criar ou modificar fluxos de trabalho poderia criar um fluxo que gerava um objeto de dados binários HTML sem um nome de arquivo. O endpoint `/rest/binary-data` servia essas respostas inline na origem do n8n sem os cabeçalhos `Content-Disposition` ou `Content-Security-Policy`, permitindo que o HTML fosse renderizado no navegador com acesso completo ao JavaScript de mesma origem. Ao enviar a URL resultante para um usuário com privilégios mais elevados, um atacante poderia executar JavaScript na sessão autenticada da vítima, permitindo a exfiltração de fluxos de trabalho e credenciais, a modificação de fluxos de trabalho ou a escalada de privilégios para administrador. O problema foi corrigido nas versões 1.123.27, 2.13.3 e 2.14.1 do n8n. Os usuários devem atualizar para uma dessas versões ou posterior para remediar a vulnerabilidade. Se a atualização não for imediatamente possível, os administradores devem considerar as seguintes mitigações temporárias: limitar as permissões de criação e edição de fluxos de trabalho apenas a usuários totalmente confiáveis e/ou restringir o acesso à instância do n8n para impedir que usuários não confiáveis acessem URLs de dados binários. Essas soluções alternativas não removem completamente o risco e devem ser usadas apenas como medidas de mitigação de curto prazo.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.