Platform
nodejs
Component
n8n
Opgelost in
1.123.28
2.0.1
2.14.1
2.14.1
CVE-2026-33696 is een kritieke Remote Code Execution (RCE) kwetsbaarheid in de GSuiteAdmin node van n8n. Een geauthenticeerde gebruiker met rechten om workflows te maken of wijzigen, kan via prototype pollution willekeurige code uitvoeren op de n8n instantie. Deze kwetsbaarheid treft n8n versies tot en met 2.14.0. De kwetsbaarheid is verholpen in n8n versies 2.14.1, 2.13.3 en 1.123.27.
Een prototype pollution kwetsbaarheid (CVE-2026-33696) is geïdentificeerd in de n8n GSuiteAdmin node. Een geauthenticeerde gebruiker met toestemming om workflows te maken of te wijzigen, kan deze kwetsbaarheid misbruiken. Door een speciaal ontworpen parameter als onderdeel van de node configuratie te leveren, kan een aanvaller attacker-gecontroleerde waarden naar Object.prototype schrijven. Dit kan de aanvaller in staat stellen om remote code execution op de n8n instantie te bereiken, waardoor de systeembeveiliging en data worden gecompromitteerd.
Het misbruiken van deze kwetsbaarheid vereist een geauthenticeerde gebruiker met toestemming om workflows in n8n te maken of te wijzigen. De aanvaller moet in staat zijn om de configuratie van de GSuiteAdmin node te manipuleren om een kwaadaardige parameter in te voegen die Object.prototype vervuilt. De complexiteit van het misbruiken hangt af van de specifieke n8n configuratie en de gebruikersrechten van de aanvaller. Zodra Object.prototype is vervuild, kan de aanvaller potentieel willekeurige code op de n8n server uitvoeren.
Organizations heavily reliant on n8n for automating workflows, particularly those handling sensitive data, are at significant risk. Environments with shared hosting or where multiple users have workflow creation/modification permissions are especially vulnerable. Legacy n8n deployments running older, unpatched versions are also at high risk.
• nodejs / server:
ps aux | grep n8n• nodejs / server:
journalctl -u n8n --since "1 hour ago" | grep -i "prototype pollution"• generic web: Inspect n8n workflow configuration files for suspicious parameters or unusual data structures that could indicate an attempted prototype pollution attack. • generic web: Review n8n access logs for unusual requests or errors related to node configurations.
disclosure
Exploit Status
EPSS
0.33% (56% percentiel)
CISA SSVC
CVSS-vector
Om deze kwetsbaarheid te mitigeren, wordt ten zeerste aanbevolen om te upgraden naar een n8n versie die de fix bevat. Betrokken versies zijn 2.14.1, 2.13.3 en 1.123.27. De upgrade zorgt ervoor dat de GSuiteAdmin node is gepatcht om prototype pollution te voorkomen. Controleer bovendien de gebruikersrechten om de toegang tot het maken en wijzigen van workflows te beperken tot alleen degenen die het nodig hebben. Bewaak de n8n logs op verdachte activiteiten.
Actualice n8n a la versión 2.14.1, 2.13.3 o 1.123.27, o posterior. Si la actualización no es posible de inmediato, limite los permisos de creación y edición de flujos de trabajo a usuarios de confianza o deshabilite el nodo XML agregando `n8n-nodes-base.xml` a la variable de entorno `NODES_EXCLUDE`. Tenga en cuenta que estas soluciones alternativas son mitigaciones temporales y no solucionan completamente el riesgo.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Prototype pollution is een kwetsbaarheid die een aanvaller in staat stelt om het prototype van een object te wijzigen, wat alle objecten kan beïnvloeden die van dat prototype erven. In dit geval is Object.prototype het basisprototype voor de meeste objecten in JavaScript.
Versies vóór 2.14.1, 2.13.3 en 1.123.27 zijn kwetsbaar voor deze kwetsbaarheid.
U kunt n8n updaten met de opdracht n8n upgrade in de opdrachtregel of via de n8n gebruikersinterface.
Als u niet onmiddellijk kunt updaten, beperk dan de toegang tot de GSuiteAdmin node en bewaak de n8n logs op verdachte activiteiten.
Controleer en versterk de gebruikersrechten, implementeer het principe van minimale privileges en houd n8n en zijn afhankelijkheden up-to-date.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.