CVE-2026-33749 in n8ninformação

Sumário

de VulDB • 10/06/2026

O n8n é uma plataforma de automação de fluxos de trabalho de código aberto. Antes das versões 1.123.27, 2.13.3 e 2.14.1, um usuário autenticado com permissão para criar ou modificar fluxos de trabalho poderia criar um fluxo que gerava um objeto de dados binários HTML sem um nome de arquivo. O endpoint `/rest/binary-data` servia essas respostas inline na origem do n8n sem os cabeçalhos `Content-Disposition` ou `Content-Security-Policy`, permitindo que o HTML fosse renderizado no navegador com acesso completo ao JavaScript de mesma origem. Ao enviar a URL resultante para um usuário com privilégios mais elevados, um atacante poderia executar JavaScript na sessão autenticada da vítima, permitindo a exfiltração de fluxos de trabalho e credenciais, a modificação de fluxos de trabalho ou a escalada de privilégios para administrador. O problema foi corrigido nas versões 1.123.27, 2.13.3 e 2.14.1 do n8n. Os usuários devem atualizar para uma dessas versões ou posterior para remediar a vulnerabilidade. Se a atualização não for imediatamente possível, os administradores devem considerar as seguintes mitigações temporárias: limitar as permissões de criação e edição de fluxos de trabalho apenas a usuários totalmente confiáveis e/ou restringir o acesso à instância do n8n para impedir que usuários não confiáveis acessem URLs de dados binários. Essas soluções alternativas não removem completamente o risco e devem ser usadas apenas como medidas de mitigação de curto prazo.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsável

GitHub M

Reservar

23/03/2026

Divulgação

25/03/2026

Moderação

aceite

Entrada

VDB-353434

CPE

pronto

EPSS

0.00249

KEV

não

Atividades

muito baixo

Fontes

Want to know what is going to be exploited?

We predict KEV entries!