Platform
nodejs
Component
n8n
Opgelost in
1.123.28
2.0.1
2.14.1
2.14.1
CVE-2026-33660 is een kritieke Remote Code Execution (RCE) kwetsbaarheid in n8n, een workflow automation platform. Deze kwetsbaarheid stelt een geauthenticeerde gebruiker in staat om, via de Merge node met de optie 'Combine by SQL', lokale bestanden te lezen en potentieel code uit te voeren op de n8n host. De kwetsbaarheid treft versies van n8n tot en met 2.14.0. Een patch is beschikbaar in n8n versies 2.14.1, 2.13.3 en 1.123.27.
Een succesvolle exploitatie van CVE-2026-33660 kan leiden tot volledige controle over de n8n server. Een geauthenticeerde gebruiker met de juiste permissies kan de 'Combine by SQL' functionaliteit in de Merge node misbruiken om SQL-statements uit te voeren die de AlaSQL sandbox omzeilen. Dit stelt de aanvaller in staat om gevoelige bestanden op de server te lezen, zoals configuratiebestanden, wachtwoorden of andere credentials. In het ergste geval kan dit leiden tot remote code execution, waardoor de aanvaller de server kan compromitteren en potentieel toegang kan krijgen tot andere systemen in het netwerk. De impact is vergelijkbaar met scenario's waarbij SQL-injectie wordt gebruikt om toegang te krijgen tot gevoelige data en de server te overnemen.
CVE-2026-33660 is openbaar bekend en de kwetsbaarheid is kritiek geclassificeerd. Er zijn momenteel geen bekende actieve campagnes gericht op deze specifieke kwetsbaarheid, maar de mogelijkheid van exploitatie bestaat gezien de RCE impact. De kwetsbaarheid is gepubliceerd op 2026-03-25. Er zijn geen publieke proof-of-concept exploits bekend op dit moment.
Organizations heavily reliant on n8n for workflow automation, particularly those with complex workflows involving data merging and SQL operations, are at significant risk. Shared hosting environments where multiple users have access to n8n instances are also vulnerable, as a compromised user could potentially exploit this vulnerability to impact other users on the same server.
• nodejs / server:
ps aux | grep n8n• nodejs / server:
journalctl -u n8n -f | grep "AlaSQL sandbox"• generic web:
curl -I http://your-n8n-instance/ | grep Serverdisclosure
Exploit Status
EPSS
0.07% (22% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-33660 is het upgraden van n8n naar een versie die de kwetsbaarheid verhelpt, namelijk 2.14.1, 2.13.3 of 1.123.27. Als een directe upgrade niet mogelijk is, kan een tijdelijke workaround bestaan uit het beperken van de permissies van gebruikers die workflows kunnen maken of wijzigen, zodat ze geen toegang hebben tot de Merge node of de 'Combine by SQL' functionaliteit. Daarnaast is het raadzaam om de AlaSQL sandbox configuratie te controleren en te versterken om verdere SQL-injectie aanvallen te voorkomen. Na de upgrade, controleer de n8n logs op verdachte activiteiten en bevestig dat de Merge node met 'Combine by SQL' correct functioneert zonder onbevoegde toegang.
Actualiseer n8n naar versie 2.14.1, 2.13.3 of 1.123.26, of een latere versie. Als actualiseren niet onmiddellijk mogelijk is, beperk dan de rechten voor het maken en bewerken van workflows alleen tot vertrouwde gebruikers, of schakel de Merge node uit door `n8n-nodes-base.merge` toe te voegen aan de omgevingsvariabele `NODES_EXCLUDE`.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-33660 is a critical Remote Code Execution vulnerability in n8n workflow automation software, allowing authenticated users to execute arbitrary code.
You are affected if you are using n8n versions 2.14.0 or earlier. Upgrade to 2.14.1, 2.13.3, or 1.123.27 to resolve the issue.
Upgrade to n8n version 2.14.1, 2.13.3, or 1.123.27. As a temporary workaround, restrict user permissions and carefully review SQL queries.
While no active exploitation has been confirmed, the vulnerability's severity and ease of exploitation suggest a high probability of exploitation.
Refer to the official n8n security advisory on their website or GitHub repository for detailed information and updates.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.