Contaminación de prototipos en n8n
Fecha de publicación 30/04/2026
Identificador
INCIBE-2026-320
Importancia
5 - Crítica
Recursos Afectados
Las siguientes versiones de n8n:
- 2.18.0;
- Desde la 2.17.0 hasta la 2.17.3;
- Menores a la 1.123.32.
Descripción
a-tallat y simonkoeck han descubierto 2 vulnerabilidades de severidad crítica que, en caso de ser explotadas, podrían permitir la ejecución de código en remoto.
Solución
Actualizar el producto a las siguientes versiones respectivamente:
- 2.18.1;
- 2.17.4;
- 1.123.32.
En caso de que no se sea posible instalar la actualización inmediatamente, se pueden aplicar, de forma temporal, las siguientes contramedidas:
- Limitar los permisos de creación y edición de flujos de trabajo (workflows) a solo usuarios en los que se confíe plenamente.
- Deshabilitar el nodo XML añadiendo "n8n-nodes-base.xml" a la variable de entorno "NODES_EXCLUDE".
Detalle
- CVE-2026-42231:un fallo en la biblioteca "xml2js" utilizada para analizar los cuerpos de las solicitudes XML en el gestor de webhooks de n8n permite la contaminación de prototipos mediante una carga útil XML manipulada. Un usuario autenticado con permisos para crear o modificar flujos de trabajo puede explotar esto para contaminar el prototipo del objeto JavaScript y, al encadenar la contaminación con las operaciones SSH del nodo Git, lograr la ejecución de código en remoto en el host n8n.
- CVE-2026-42232: un usuario autenticado con permisos para crear o modificar flujos de trabajo puede lograr una contaminación de prototipos global a través de un nodo XML y, de este modo, ejecutar código en remoto cuando se combina con otros nodos y se explota la polución de prototipos.
CVE
| Identificador CVE | Severidad | Explotación | Fabricante |
|---|---|---|---|
| CVE-2026-42231 | Crítica | No | n8n |
| CVE-2026-42232 | Crítica | No | n8n |
Listado de referencias
