Plateforme
nodejs
Composant
n8n
Corrigé dans
1.123.27
2.0.1
2.14.1
1.123.26
Une vulnérabilité SQL Injection a été découverte dans le nœud Data Table Get de n8n, permettant à un utilisateur authentifié disposant des permissions nécessaires de manipuler des requêtes SQL. L'impact est plus limité sur les bases de données SQLite par défaut, mais peut permettre la modification et la suppression de données sur les déploiements PostgreSQL. Les versions affectées sont celles antérieures à 1.123.26, 2.13.3 et 2.14.1. Une mise à jour vers une version corrigée est recommandée.
Cette vulnérabilité SQL Injection permet à un attaquant authentifié, ayant les droits de création ou de modification de workflows, d'injecter du code SQL malveillant dans les requêtes exécutées par le nœud Data Table Get. Sur une base de données SQLite, l'attaquant peut exécuter des requêtes uniques pour manipuler les données. Cependant, sur les déploiements PostgreSQL, l'attaquant peut exécuter des requêtes multi-statements, ce qui augmente considérablement la surface d'attaque. Cela pourrait permettre la modification, la suppression, voire l'accès non autorisé à des informations sensibles stockées dans la base de données n8n. Un attaquant pourrait potentiellement compromettre l'intégrité et la confidentialité des données, et même prendre le contrôle de certaines fonctionnalités du système.
Cette vulnérabilité a été rendue publique le 26 mars 2026. Il n'y a pas d'indications d'une exploitation active à ce jour, mais la sévérité critique de la vulnérabilité justifie une attention particulière. Il n'est pas listé sur KEV pour le moment. La probabilité d'exploitation est considérée comme moyenne en raison de la nécessité d'une authentification préalable et de la complexité potentielle de l'exploitation sur SQLite.
Organizations utilizing n8n for workflow automation, particularly those running PostgreSQL databases, are at risk. This includes businesses relying on n8n for data integration, process automation, and API management. Environments with less stringent user permission controls are also at higher risk, as the vulnerability requires only authenticated user access to create or modify workflows.
• nodejs / server:
grep -r "Data Table Get node" /opt/n8n/resources/app/nodes/• linux / server:
journalctl -u n8n -f | grep "SQL injection"• database (postgresql):
SELECT query FROM audit_log WHERE query LIKE '%DROP TABLE%';disclosure
Statut de l'Exploit
EPSS
0.02% (percentile 4%)
CISA SSVC
Vecteur CVSS
La solution principale consiste à mettre à jour n8n vers une version corrigée : 1.123.26, 2.13.3 ou 2.14.1 ou une version ultérieure. Si la mise à jour n'est pas immédiatement possible, des contournements peuvent être envisagés. Il est recommandé de restreindre les permissions des utilisateurs afin de limiter leur capacité à créer ou modifier des workflows. Envisagez également de mettre en place une surveillance accrue des requêtes SQL exécutées par n8n pour détecter toute activité suspecte. Si possible, configurez un pare-feu applicatif web (WAF) pour filtrer les requêtes malveillantes. Après la mise à jour, vérifiez l'intégrité de la base de données et assurez-vous que les permissions des utilisateurs sont correctement configurées.
Mettez à jour n8n à la version 1.123.26, 2.13.3, 2.14.1 ou supérieure. Si la mise à jour n'est pas possible immédiatement, limitez les autorisations de création et de modification de flux de travail aux utilisateurs de confiance, désactivez le nœud Data Table en ajoutant `n8n-nodes-base.dataTable` à la variable d'environnement `NODES_EXCLUDE`, et/ou examinez les flux de travail existants pour les nœuds Data Table Get où `orderByColumn` est configuré avec une expression qui incorpore une entrée externe ou fournie par l'utilisateur.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-33713 is a critical SQL Injection vulnerability affecting n8n versions before 1.123.26, 2.13.3, and 2.14.1. It allows authenticated users to inject malicious SQL code, potentially leading to data compromise.
If you are running n8n versions prior to 1.123.26, 2.13.3, or 2.14.1, you are vulnerable. PostgreSQL deployments are at higher risk.
Upgrade n8n to version 1.123.26 or later, or to version 2.13.3 or 2.14.1. Restrict user permissions as a temporary workaround.
While no public exploits are currently known, the vulnerability's severity and ease of exploitation suggest a potential for active exploitation.
Refer to the n8n security advisories page for the latest information: [https://n8n.io/security](https://n8n.io/security)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.