प्लेटफ़ॉर्म
nodejs
घटक
n8n
में ठीक किया गया
1.123.27
2.0.1
2.14.1
1.123.26
CVE-2026-33713 एक SQL इंजेक्शन भेद्यता है जो n8n वर्कफ़्लो में Data Table Get नोड में पाई गई है। इस भेद्यता का सफलतापूर्वक शोषण करने पर, एक प्रमाणित उपयोगकर्ता डेटाबेस को संशोधित या हटा सकता है, जिससे गंभीर डेटा हानि या सिस्टम समझौता हो सकता है। यह भेद्यता n8n के संस्करण 1.123.26 से पहले के संस्करणों को प्रभावित करती है। इस समस्या को ठीक करने के लिए n8n के संस्करण 1.123.26 या बाद के संस्करण में अपग्रेड करने की सिफारिश की जाती है।
यह SQL इंजेक्शन भेद्यता n8n वर्कफ़्लो में Data Table Get नोड के माध्यम से हमलावरों को डेटाबेस के साथ सीधे हस्तक्षेप करने की अनुमति देती है। SQLite डेटाबेस पर, एकल कथनों को हेरफेर किया जा सकता है, जिससे हमले की सतह सीमित हो जाती है। हालाँकि, PostgreSQL पर तैनात n8n इंस्टेंस में, बहु-कथन निष्पादन संभव है, जो हमलावरों को डेटा को संशोधित करने और हटाने की क्षमता प्रदान करता है। एक सफल शोषण से संवेदनशील जानकारी का खुलासा, डेटा का भ्रष्टाचार और सिस्टम की उपलब्धता में व्यवधान हो सकता है। इस भेद्यता का उपयोग डेटाबेस में अनधिकृत परिवर्तन करने, उपयोगकर्ता खातों को समझौता करने या सिस्टम को नियंत्रित करने के लिए किया जा सकता है।
CVE-2026-33713 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन इसकी गंभीरता और संभावित प्रभाव को देखते हुए, यह शोषण के लिए एक आकर्षक लक्ष्य है। यह भेद्यता KEV (Know Exploited Vulnerabilities) सूची में शामिल नहीं है, लेकिन इसकी EPSS (Exploit Prediction Score System) स्कोर उच्च होने की संभावना है, जो सार्वजनिक शोषण के जोखिम को इंगित करता है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) अभी तक ज्ञात नहीं हैं, लेकिन भेद्यता की प्रकृति को देखते हुए, उनका जल्द ही उभरना संभव है।
Organizations utilizing n8n for workflow automation, particularly those running PostgreSQL databases, are at risk. This includes businesses relying on n8n for data integration, process automation, and API management. Environments with less stringent user permission controls are also at higher risk, as the vulnerability requires only authenticated user access to create or modify workflows.
• nodejs / server:
grep -r "Data Table Get node" /opt/n8n/resources/app/nodes/• linux / server:
journalctl -u n8n -f | grep "SQL injection"• database (postgresql):
SELECT query FROM audit_log WHERE query LIKE '%DROP TABLE%';disclosure
एक्सप्लॉइट स्थिति
EPSS
0.02% (4% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-33713 को कम करने का प्राथमिक तरीका n8n को संस्करण 1.123.26, 2.13.3, या 2.14.1 में अपग्रेड करना है। यदि अपग्रेड तुरंत संभव नहीं है, तो एक अस्थायी समाधान के रूप में, Data Table Get नोड के माध्यम से उपयोगकर्ता इनपुट को मान्य और सैनिटाइज करने के लिए अतिरिक्त सुरक्षा उपाय लागू किए जा सकते हैं। PostgreSQL पर तैनात n8n इंस्टेंस के लिए, डेटाबेस उपयोगकर्ता अनुमतियों को सीमित करना और डेटाबेस फ़ायरवॉल को कॉन्फ़िगर करना महत्वपूर्ण है। अपग्रेड के बाद, यह सुनिश्चित करने के लिए कि भेद्यता को सफलतापूर्वक ठीक किया गया है, Data Table Get नोड के माध्यम से SQL इंजेक्शन हमलों का अनुकरण करके सत्यापन करें।
n8n को संस्करण 1.123.26, 2.13.3, 2.14.1 या उच्चतर में अपडेट करें। यदि अपग्रेड तुरंत संभव नहीं है, तो वर्कफ़्लो निर्माण और संपादन अनुमतियों को विश्वसनीय उपयोगकर्ताओं तक सीमित करें, `n8n-nodes-base.dataTable` को `NODES_EXCLUDE` पर्यावरण चर में जोड़कर डेटा टेबल नोड को अक्षम करें, और/या उन मौजूदा वर्कफ़्लो की समीक्षा करें जहां `orderByColumn` को एक अभिव्यक्ति पर सेट किया गया है जिसमें बाहरी या उपयोगकर्ता-प्रदत्त इनपुट शामिल है।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-33713 n8n के Data Table Get नोड में पाई गई एक गंभीर SQL इंजेक्शन भेद्यता है, जो हमलावरों को डेटाबेस को संशोधित करने की अनुमति देती है।
यदि आप n8n के संस्करण 1.123.26 से पहले का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
n8n को संस्करण 1.123.26, 2.13.3, या 2.14.1 में अपग्रेड करें।
अभी तक सक्रिय शोषण की कोई रिपोर्ट नहीं है, लेकिन इसकी गंभीरता को देखते हुए, शोषण की संभावना है।
आधिकारिक सलाहकार के लिए n8n सुरक्षा सलाहकार अनुभाग देखें: [https://n8n.io/security/advisories](https://n8n.io/security/advisories)
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।