n8n : Pollution de prototype dans les paramètres des nœuds XML et GSuiteAdmin menant à l’exécution de code à distance (RCE)
Plateforme
nodejs
Composant
n8n
Corrigé dans
1.123.28
2.0.1
2.14.1
2.14.1
La CVE-2026-33696 est une vulnérabilité d'exécution de code à distance (RCE) affectant n8n. Un utilisateur authentifié avec les permissions adéquates peut exploiter une vulnérabilité de pollution de prototype dans le nœud GSuiteAdmin pour exécuter du code arbitraire. Cette vulnérabilité affecte les versions de n8n inférieures ou égales à 2.14.0. Elle est corrigée dans les versions 2.14.1, 2.13.3 et 1.123.27.
Impact et Scénarios d'Attaque
Une vulnérabilité de pollution de prototype (prototype pollution) a été identifiée dans le nœud GSuiteAdmin de n8n (CVE-2026-33696). Un utilisateur authentifié disposant de l'autorisation de créer ou de modifier des workflows pourrait exploiter cette vulnérabilité. En fournissant un paramètre spécialement conçu dans la configuration du nœud, un attaquant pourrait écrire des valeurs contrôlées par l'attaquant sur Object.prototype. Cela pourrait permettre à l'attaquant d'exécuter du code à distance sur l'instance n8n, compromettant la sécurité du système et les données.
Contexte d'Exploitation
L'exploitation de cette vulnérabilité nécessite un utilisateur authentifié disposant des autorisations de créer ou de modifier des workflows dans n8n. L'attaquant doit être capable de manipuler la configuration du nœud GSuiteAdmin pour injecter un paramètre malveillant qui pollue Object.prototype. La complexité de l'exploitation dépend de la configuration spécifique de n8n et des autorisations de l'utilisateur attaquant. Une fois que Object.prototype est pollué, l'attaquant peut potentiellement exécuter du code arbitraire sur le serveur n8n.
Qui Est à Risquetraduction en cours…
Organizations heavily reliant on n8n for automating workflows, particularly those handling sensitive data, are at significant risk. Environments with shared hosting or where multiple users have workflow creation/modification permissions are especially vulnerable. Legacy n8n deployments running older, unpatched versions are also at high risk.
Étapes de Détectiontraduction en cours…
• nodejs / server:
ps aux | grep n8n• nodejs / server:
journalctl -u n8n --since "1 hour ago" | grep -i "prototype pollution"• generic web: Inspect n8n workflow configuration files for suspicious parameters or unusual data structures that could indicate an attempted prototype pollution attack. • generic web: Review n8n access logs for unusual requests or errors related to node configurations.
Chronologie de l'Attaque
- Disclosure
disclosure
Renseignement sur les Menaces
Statut de l'Exploit
EPSS
0.33% (percentile 56%)
CISA SSVC
Vecteur CVSS
Que signifient ces métriques?
- Attack Vector
- Réseau — exploitable à distance via internet. Aucun accès physique ou local requis.
- Attack Complexity
- Faible — aucune condition spéciale requise. Exploitable de manière fiable.
- Privileges Required
- Faible — tout compte utilisateur valide est suffisant.
- User Interaction
- Aucune — attaque automatique et silencieuse. La victime ne fait rien.
- Scope
- Modifié — l'attaque peut pivoter au-delà du composant vulnérable.
- Confidentiality
- Élevé — perte totale de confidentialité. L'attaquant peut lire toutes les données.
- Integrity
- Élevé — l'attaquant peut écrire, modifier ou supprimer toutes les données.
- Availability
- Élevé — panne complète ou épuisement des ressources. Déni de service total.
Logiciel Affecté
Classification de Faiblesse (CWE)
Chronologie
- Réservé
- Publiée
- EPSS mis à jour
Mitigation et Contournements
Afin d'atténuer cette vulnérabilité, il est fortement recommandé de mettre à niveau vers une version de n8n qui inclut la correction. Les versions concernées sont 2.14.1, 2.13.3 et 1.123.27. La mise à niveau garantit que le nœud GSuiteAdmin a été corrigé pour éviter la pollution de prototype. De plus, examinez les autorisations des utilisateurs afin de limiter l'accès à la création et à la modification des workflows aux seuls utilisateurs qui en ont besoin. Surveillez les journaux n8n à la recherche d'activités suspectes.
Comment corrigertraduction en cours…
Actualice n8n a la versión 2.14.1, 2.13.3 o 1.123.27, o posterior. Si la actualización no es posible de inmediato, limite los permisos de creación y edición de flujos de trabajo a usuarios de confianza o deshabilite el nodo XML agregando `n8n-nodes-base.xml` a la variable de entorno `NODES_EXCLUDE`. Tenga en cuenta que estas soluciones alternativas son mitigaciones temporales y no solucionan completamente el riesgo.
Newsletter Sécurité CVE
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Questions fréquentes
Qu'est-ce que CVE-2026-33696 — Remote Code Execution (RCE) dans n8n ?
La pollution de prototype est une vulnérabilité qui permet à un attaquant de modifier le prototype d'un objet, ce qui peut affecter tous les objets qui héritent de ce prototype. Dans ce cas, Object.prototype est le prototype de base pour la plupart des objets en JavaScript.
Suis-je affecté(e) par CVE-2026-33696 dans n8n ?
Les versions antérieures à 2.14.1, 2.13.3 et 1.123.27 sont vulnérables à cette vulnérabilité.
Comment corriger CVE-2026-33696 dans n8n ?
Vous pouvez mettre à niveau n8n en utilisant la commande n8n upgrade dans la ligne de commande ou via l'interface utilisateur de n8n.
CVE-2026-33696 est-il activement exploité ?
Si vous ne pouvez pas mettre à niveau immédiatement, restreignez l'accès au nœud GSuiteAdmin et surveillez les journaux n8n à la recherche d'activités suspectes.
Où trouver l'avis officiel de n8n pour CVE-2026-33696 ?
Examinez et renforcez les autorisations des utilisateurs, mettez en œuvre le principe du moindre privilège et maintenez n8n et ses dépendances à jour.
Ton projet est-il affecté ?
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.