CVE-2026-33696 in n8n
Сводка
по VulDB • 20.05.2026
n8n — это платформа автоматизации рабочих процессов с открытым исходным кодом. До версий 2.14.1, 2.13.3 и 1.123.27 аутентифицированный пользователь, имеющий права на создание или изменение рабочих процессов, мог эксплуатировать уязвимость prototype pollution в узлах XML и GSuiteAdmin. Предоставляя специально сформированные параметры в качестве части конфигурации узла, злоумышленник мог записывать контролируемые им значения в `Object.prototype`. Используя эту уязвимость prototype pollution, злоумышленник мог достичь удаленного выполнения кода (RCE) на экземпляре n8n. Проблема исправлена в версиях n8n 2.14.1, 2.13.3 и 1.123.27. Пользователям следует обновиться до одной из этих версий или более поздних, чтобы устранить уязвимость. Если немедленное обновление невозможно, администраторам следует рассмотреть следующие временные меры по снижению рисков: ограничить права на создание и редактирование рабочих процессов только полностью доверенными пользователями и/или отключить узел XML, добавив `n8n-nodes-base.xml` в переменную окружения `NODES_EXCLUDE`. Эти обходные пути не устраняют риск полностью и должны использоваться только как краткосрочные меры по снижению рисков.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.