Plataforma
nodejs
Componente
n8n
Corrigido em
1.123.28
2.0.1
2.14.1
2.14.1
CVE-2026-33696 é uma vulnerabilidade de Execução Remota de Código (RCE) que afeta o n8n. Um usuário autenticado com permissão para criar ou modificar workflows pode explorar uma falha de prototype pollution no nó GSuiteAdmin, permitindo a execução remota de código na instância n8n. A vulnerabilidade afeta versões ≤2.14.0. A correção foi implementada nas versões 2.14.1, 2.13.3 e 1.123.27.
Uma vulnerabilidade de poluição de protótipos (prototype pollution) foi identificada no nó GSuiteAdmin do n8n (CVE-2026-33696). Um usuário autenticado com permissão para criar ou modificar fluxos de trabalho pode explorar esta vulnerabilidade. Ao fornecer um parâmetro especialmente elaborado como parte da configuração do nó, um atacante pode escrever valores controlados pelo atacante em Object.prototype. Isso pode permitir que o atacante execute código remotamente na instância do n8n, comprometendo a segurança do sistema e os dados.
A exploração desta vulnerabilidade requer um usuário autenticado com permissões para criar ou modificar fluxos de trabalho no n8n. O atacante deve ser capaz de manipular a configuração do nó GSuiteAdmin para injetar um parâmetro malicioso que polua Object.prototype. A complexidade da exploração depende da configuração específica do n8n e das permissões do usuário atacante. Uma vez que Object.prototype está poluído, o atacante pode potencialmente executar código arbitrário no servidor n8n.
Organizations heavily reliant on n8n for automating workflows, particularly those handling sensitive data, are at significant risk. Environments with shared hosting or where multiple users have workflow creation/modification permissions are especially vulnerable. Legacy n8n deployments running older, unpatched versions are also at high risk.
• nodejs / server:
ps aux | grep n8n• nodejs / server:
journalctl -u n8n --since "1 hour ago" | grep -i "prototype pollution"• generic web: Inspect n8n workflow configuration files for suspicious parameters or unusual data structures that could indicate an attempted prototype pollution attack. • generic web: Review n8n access logs for unusual requests or errors related to node configurations.
disclosure
Status do Exploit
EPSS
0.33% (percentil 56%)
CISA SSVC
Vetor CVSS
Para mitigar esta vulnerabilidade, recomenda-se fortemente atualizar para uma versão do n8n que inclua a correção. As versões afetadas são 2.14.1, 2.13.3 e 1.123.27. A atualização garante que o nó GSuiteAdmin foi corrigido para evitar a poluição de protótipos. Além disso, revise as permissões do usuário para limitar o acesso à criação e modificação de fluxos de trabalho apenas para aqueles que realmente precisam. Monitore os logs do n8n em busca de atividades suspeitas.
Actualice n8n a la versión 2.14.1, 2.13.3 o 1.123.27, o posterior. Si la actualización no es posible de inmediato, limite los permisos de creación y edición de flujos de trabajo a usuarios de confianza o deshabilite el nodo XML agregando `n8n-nodes-base.xml` a la variable de entorno `NODES_EXCLUDE`. Tenga en cuenta que estas soluciones alternativas son mitigaciones temporales y no solucionan completamente el riesgo.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
A poluição de protótipos é uma vulnerabilidade que permite a um atacante modificar o protótipo de um objeto, o que pode afetar todos os objetos que herdam desse protótipo. Neste caso, Object.prototype é o protótipo base para a maioria dos objetos em JavaScript.
Versões anteriores a 2.14.1, 2.13.3 e 1.123.27 são vulneráveis a esta vulnerabilidade.
Você pode atualizar o n8n usando o comando n8n upgrade na linha de comando ou através da interface de usuário do n8n.
Se não puder atualizar imediatamente, restrinja o acesso ao nó GSuiteAdmin e monitore os logs do n8n em busca de atividades suspeitas.
Revise e fortaleça as permissões do usuário, implemente o princípio do menor privilégio e mantenha o n8n e suas dependências atualizadas.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.