प्लेटफ़ॉर्म
nodejs
घटक
n8n
में ठीक किया गया
1.123.28
2.0.1
2.14.1
2.14.1
CVE-2026-33696, n8n में एक रिमोट कोड निष्पादन (RCE) भेद्यता है। एक प्रमाणित उपयोगकर्ता वर्कफ़्लो बनाने या संशोधित करने की अनुमति के साथ GSuiteAdmin नोड में एक प्रोटोटाइप प्रदूषण भेद्यता का फायदा उठा सकता है, जिससे रिमोट कोड निष्पादित किया जा सकता है। यह भेद्यता संस्करण 2.14.0 और उससे पहले के संस्करणों को प्रभावित करती है। संस्करण 2.14.1, 2.13.3 और 1.123.27 में ठीक किया गया।
n8n के GSuiteAdmin नोड में एक प्रोटोटाइप प्रदूषण (prototype pollution) भेद्यता (CVE-2026-33696) की पहचान की गई है। एक प्रमाणित उपयोगकर्ता जिसके पास वर्कफ़्लो बनाने या संशोधित करने की अनुमति है, वह इस भेद्यता का फायदा उठा सकता है। नोड कॉन्फ़िगरेशन के हिस्से के रूप में एक विशेष रूप से तैयार किए गए पैरामीटर को आपूर्ति करके, एक हमलावर Object.prototype पर हमलावर-नियंत्रित मान लिख सकता है। यह हमलावर को n8n उदाहरण पर रिमोट कोड निष्पादन प्राप्त करने की अनुमति दे सकता है, जिससे सिस्टम सुरक्षा और डेटा से समझौता हो सकता है।
इस भेद्यता का फायदा उठाने के लिए n8n में वर्कफ़्लो बनाने या संशोधित करने की अनुमति वाले प्रमाणित उपयोगकर्ता की आवश्यकता होती है। हमलावर को Object.prototype को दूषित करने वाले दुर्भावनापूर्ण पैरामीटर को इंजेक्ट करने के लिए GSuiteAdmin नोड कॉन्फ़िगरेशन में हेरफेर करने में सक्षम होना चाहिए। शोषण की जटिलता विशिष्ट n8n कॉन्फ़िगरेशन और हमलावर के उपयोगकर्ता अनुमतियों पर निर्भर करती है। एक बार जब Object.prototype दूषित हो जाता है, तो हमलावर संभावित रूप से n8n सर्वर पर मनमाना कोड निष्पादित कर सकता है।
Organizations heavily reliant on n8n for automating workflows, particularly those handling sensitive data, are at significant risk. Environments with shared hosting or where multiple users have workflow creation/modification permissions are especially vulnerable. Legacy n8n deployments running older, unpatched versions are also at high risk.
• nodejs / server:
ps aux | grep n8n• nodejs / server:
journalctl -u n8n --since "1 hour ago" | grep -i "prototype pollution"• generic web: Inspect n8n workflow configuration files for suspicious parameters or unusual data structures that could indicate an attempted prototype pollution attack. • generic web: Review n8n access logs for unusual requests or errors related to node configurations.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.33% (56% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता को कम करने के लिए, n8n के उस संस्करण में अपग्रेड करने की दृढ़ता से अनुशंसा की जाती है जिसमें फिक्स शामिल है। प्रभावित संस्करण 2.14.1, 2.13.3 और 1.123.27 हैं। अपग्रेड यह सुनिश्चित करता है कि GSuiteAdmin नोड को प्रोटोटाइप प्रदूषण को रोकने के लिए पैच किया गया है। इसके अतिरिक्त, वर्कफ़्लो निर्माण और संशोधन तक पहुंच को केवल उन लोगों तक सीमित करने के लिए उपयोगकर्ता अनुमतियों की समीक्षा करें जिन्हें इसकी आवश्यकता है। संदिग्ध गतिविधि के लिए n8n लॉग की निगरानी करें।
Actualice n8n a la versión 2.14.1, 2.13.3 o 1.123.27, o posterior. Si la actualización no es posible de inmediato, limite los permisos de creación y edición de flujos de trabajo a usuarios de confianza o deshabilite el nodo XML agregando `n8n-nodes-base.xml` a la variable de entorno `NODES_EXCLUDE`. Tenga en cuenta que estas soluciones alternativas son mitigaciones temporales y no solucionan completamente el riesgo.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
प्रोटोटाइप प्रदूषण एक भेद्यता है जो एक हमलावर को किसी ऑब्जेक्ट के प्रोटोटाइप को संशोधित करने की अनुमति देती है, जिससे उस प्रोटोटाइप से विरासत में मिली सभी ऑब्जेक्ट प्रभावित हो सकते हैं। इस मामले में, Object.prototype JavaScript में अधिकांश ऑब्जेक्ट के लिए बेस प्रोटोटाइप है।
2.14.1, 2.13.3 और 1.123.27 से पहले के संस्करणों में इस भेद्यता है।
आप कमांड लाइन में n8n upgrade कमांड का उपयोग करके या n8n उपयोगकर्ता इंटरफ़ेस के माध्यम से n8n को अपडेट कर सकते हैं।
यदि आप तुरंत अपडेट नहीं कर सकते हैं, तो GSuiteAdmin नोड तक पहुंच को प्रतिबंधित करें और संदिग्ध गतिविधि के लिए n8n लॉग की निगरानी करें।
उपयोगकर्ता अनुमतियों की समीक्षा और मजबूत करें, न्यूनतम विशेषाधिकार के सिद्धांत को लागू करें और n8n और उसके निर्भरताओं को अद्यतित रखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।