Plataforma
nodejs
Componente
n8n
Corrigido em
1.123.28
2.0.1
2.14.1
2.14.1
A vulnerabilidade CVE-2026-33660 é uma falha de Execução Remota de Código (RCE) que afeta o n8n em versões até 2.14.0. Um usuário autenticado com permissão para criar ou modificar fluxos de trabalho pode explorar a função "Combine by SQL" no nó Merge para ler arquivos locais no servidor n8n e, potencialmente, executar código remotamente. A correção foi implementada nas versões 2.14.1, 2.13.3 e 1.123.27.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante execute comandos arbitrários no servidor n8n com as permissões do usuário autenticado. Isso pode levar à exfiltração de dados confidenciais, comprometimento completo do sistema e acesso não autorizado a outros recursos da rede. A falha reside na falta de restrições adequadas no sandbox AlaSQL, permitindo a execução de comandos SQL que podem acessar arquivos sensíveis no sistema de arquivos do servidor. Um atacante pode, por exemplo, ler arquivos de configuração, chaves de API ou outros dados confidenciais armazenados no servidor. A possibilidade de execução remota de código amplia significativamente o escopo do ataque, permitindo que o atacante instale malware, modifique dados ou utilize o servidor comprometido como ponto de apoio para ataques subsequentes.
A vulnerabilidade foi divulgada em 25 de março de 2026. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da publicação. A existência de um sandbox AlaSQL que não restringe adequadamente certos comandos SQL sugere um padrão de vulnerabilidade semelhante a outras falhas de injeção SQL, mas a necessidade de autenticação limita o escopo da exploração.
Organizations heavily reliant on n8n for workflow automation, particularly those with complex workflows involving data merging and SQL operations, are at significant risk. Shared hosting environments where multiple users have access to n8n instances are also vulnerable, as a compromised user could potentially exploit this vulnerability to impact other users on the same server.
• nodejs / server:
ps aux | grep n8n• nodejs / server:
journalctl -u n8n -f | grep "AlaSQL sandbox"• generic web:
curl -I http://your-n8n-instance/ | grep Serverdisclosure
Status do Exploit
EPSS
0.07% (percentil 22%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é a atualização para uma versão corrigida do n8n, especificamente 2.14.1, 2.13.3 ou 1.123.27. Se a atualização imediata não for possível, considere restringir o acesso ao nó Merge e desabilitar a opção "Combine by SQL" para usuários não confiáveis. Implementar um firewall de aplicação web (WAF) com regras para detectar e bloquear consultas SQL maliciosas pode fornecer uma camada adicional de proteção. Monitore os logs do n8n em busca de atividades suspeitas, como tentativas de acesso a arquivos não autorizados ou execução de comandos inesperados. Após a atualização, verifique se a vulnerabilidade foi corrigida executando um teste de penetração ou revisando o código para garantir que as restrições de sandbox AlaSQL estejam funcionando corretamente.
Atualize n8n para a versão 2.14.1, 2.13.3 ou 1.123.26, ou para uma versão posterior. Se a atualização não for possível imediatamente, limite as permissões de criação e edição de fluxos de trabalho apenas a usuários confiáveis, ou desabilite o nó Merge adicionando `n8n-nodes-base.merge` à variável de ambiente `NODES_EXCLUDE`.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-33660 is a critical Remote Code Execution vulnerability in n8n workflow automation software, allowing authenticated users to execute arbitrary code.
You are affected if you are using n8n versions 2.14.0 or earlier. Upgrade to 2.14.1, 2.13.3, or 1.123.27 to resolve the issue.
Upgrade to n8n version 2.14.1, 2.13.3, or 1.123.27. As a temporary workaround, restrict user permissions and carefully review SQL queries.
While no active exploitation has been confirmed, the vulnerability's severity and ease of exploitation suggest a high probability of exploitation.
Refer to the official n8n security advisory on their website or GitHub repository for detailed information and updates.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.