Platform
nodejs
Component
n8n
Opgelost in
1.123.27
2.0.1
2.14.1
1.123.26
CVE-2026-33713 beschrijft een kritieke SQL Injection kwetsbaarheid in n8n, een workflow automatiseringsplatform. Een geauthenticeerde gebruiker met de juiste permissies kan deze kwetsbaarheid uitbuiten in de Data Table Get node, wat kan leiden tot data manipulatie en verwijdering, vooral in PostgreSQL omgevingen. De kwetsbaarheid beïnvloedt n8n versies vóór 1.123.26, 2.13.3 en 2.14.1. Een patch is beschikbaar in de genoemde versies.
Deze SQL Injection kwetsbaarheid stelt een geauthenticeerde aanvaller in staat om SQL-query's te injecteren via de Data Table Get node in n8n workflows. In een SQLite omgeving zijn de mogelijkheden beperkt tot het manipuleren van enkele statements. Echter, in PostgreSQL omgevingen is multi-statement execution mogelijk, waardoor de aanvaller data kan wijzigen, verwijderen en mogelijk zelfs toegang kan krijgen tot andere gevoelige informatie in de database. Dit kan leiden tot een aanzienlijke verstoring van de workflow processen en een compromittering van de data integriteit. Een succesvolle exploitatie kan resulteren in dataverlies, ongeautoriseerde toegang tot systemen en mogelijk zelfs de overname van de n8n-instantie.
Op dit moment zijn er geen publieke exploits bekend voor CVE-2026-33713. De kwetsbaarheid is openbaar gemaakt op 2026-03-26. De impact van deze kwetsbaarheid is hoog, gezien de mogelijkheid van data manipulatie en verwijdering in PostgreSQL omgevingen. Het is aan te raden om deze kwetsbaarheid serieus te nemen en onmiddellijk te mitigeren.
Organizations utilizing n8n for workflow automation, particularly those running PostgreSQL databases, are at risk. This includes businesses relying on n8n for data integration, process automation, and API management. Environments with less stringent user permission controls are also at higher risk, as the vulnerability requires only authenticated user access to create or modify workflows.
• nodejs / server:
grep -r "Data Table Get node" /opt/n8n/resources/app/nodes/• linux / server:
journalctl -u n8n -f | grep "SQL injection"• database (postgresql):
SELECT query FROM audit_log WHERE query LIKE '%DROP TABLE%';disclosure
Exploit Status
EPSS
0.02% (4% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-33713 is het upgraden van n8n naar versie 1.123.26, 2.13.3 of 2.14.1 of een latere versie. Indien een directe upgrade niet mogelijk is, overweeg dan om de permissies van gebruikers te beperken, zodat ze geen workflows kunnen aanmaken of wijzigen die de Data Table Get node gebruiken. Het implementeren van een Web Application Firewall (WAF) met regels die SQL Injection pogingen detecteren en blokkeren kan ook een tijdelijke bescherming bieden. Zorg ervoor dat de databasegebruiker die door n8n wordt gebruikt, minimale privileges heeft en geen beheerderstoegang heeft.
Actualiseer n8n naar versie 1.123.26, 2.13.3, 2.14.1 of hoger. Als een update niet onmiddellijk mogelijk is, beperk dan de rechten voor het maken en bewerken van workflows tot vertrouwde gebruikers, schakel de Data Table node uit door `n8n-nodes-base.dataTable` toe te voegen aan de omgevingsvariabele `NODES_EXCLUDE`, en/of controleer bestaande workflows op Data Table Get nodes waar `orderByColumn` is geconfigureerd met een expressie die externe of door de gebruiker aangeleverde invoer bevat.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-33713 is a critical SQL Injection vulnerability affecting n8n versions before 1.123.26, 2.13.3, and 2.14.1. It allows authenticated users to inject malicious SQL code, potentially leading to data compromise.
If you are running n8n versions prior to 1.123.26, 2.13.3, or 2.14.1, you are vulnerable. PostgreSQL deployments are at higher risk.
Upgrade n8n to version 1.123.26 or later, or to version 2.13.3 or 2.14.1. Restrict user permissions as a temporary workaround.
While no public exploits are currently known, the vulnerability's severity and ease of exploitation suggest a potential for active exploitation.
Refer to the n8n security advisories page for the latest information: [https://n8n.io/security](https://n8n.io/security)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.