n8n présente une injection SQL (SQL Injection) dans le nœud de table de données via l'expression orderByColumn

## Impact Un utilisateur authentifié ayant la permission de créer ou de modifier des flux de travail pourrait exploiter une vulnérabilité d'injection SQL (SQL Injection) dans le nœud Data Table Get. Sur la base de données SQLite par défaut, les instructions uniques peuvent être manipulées et la surface d'attaque est pratiquement limitée. Sur les déploiements PostgreSQL, l'exécution de plusieurs instructions est possible, ce qui permet la modification et la suppression de données. ## Correctifs Le problème a été corrigé dans les versions 1.123.26, 2.13.3 et 2.14.1 de n8n. Les utilisateurs doivent mettre à niveau vers l'une de ces versions ou une version ultérieure pour corriger la vulnérabilité. ## Solutions de contournement Si la mise à niveau n'est pas possible immédiatement, les administrateurs doivent envisager les mesures d'atténuation temporaires suivantes : - Limiter les autorisations de création et de modification de flux de travail aux seuls utilisateurs entièrement approuvés. - Désactiver le nœud Data Table en ajoutant `n8n-nodes-base.dataTable` à la variable d'environnement `NODES_EXCLUDE`. - Examiner les flux de travail existants pour les nœuds Data Table Get où `orderByColumn` est défini sur une expression qui incorpore une entrée externe ou fournie par l'utilisateur. Ces solutions de contournement ne corrigent pas entièrement le risque et ne doivent être utilisées que comme mesures d'atténuation à court terme.