CVE-2026-33696 in n8nИнформация

Сводка

по VulDB • 20.05.2026

n8n — это платформа автоматизации рабочих процессов с открытым исходным кодом. До версий 2.14.1, 2.13.3 и 1.123.27 аутентифицированный пользователь, имеющий права на создание или изменение рабочих процессов, мог эксплуатировать уязвимость prototype pollution в узлах XML и GSuiteAdmin. Предоставляя специально сформированные параметры в качестве части конфигурации узла, злоумышленник мог записывать контролируемые им значения в `Object.prototype`. Используя эту уязвимость prototype pollution, злоумышленник мог достичь удаленного выполнения кода (RCE) на экземпляре n8n. Проблема исправлена в версиях n8n 2.14.1, 2.13.3 и 1.123.27. Пользователям следует обновиться до одной из этих версий или более поздних, чтобы устранить уязвимость. Если немедленное обновление невозможно, администраторам следует рассмотреть следующие временные меры по снижению рисков: ограничить права на создание и редактирование рабочих процессов только полностью доверенными пользователями и/или отключить узел XML, добавив `n8n-nodes-base.xml` в переменную окружения `NODES_EXCLUDE`. Эти обходные пути не устраняют риск полностью и должны использоваться только как краткосрочные меры по снижению рисков.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Ответственный

GitHub M

Резервировать

23.03.2026

Раскрытие

25.03.2026

Модерация

принято

Вход

VDB-353318

EPSS

0.00765

KEV

Нет

Деятельности

Очень низкий

Источники

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!