CVE-2026-33696
Gravedad CVSS v4.0:
CRÍTICA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
25/03/2026
Última modificación:
26/03/2026
Descripción
n8n es una plataforma de automatización de flujos de trabajo de código abierto. Antes de las versiones 2.14.1, 2.13.3 y 1.123.27, un usuario autenticado con permiso para crear o modificar flujos de trabajo podría explotar una vulnerabilidad de contaminación de prototipos en los nodos XML y GSuiteAdmin. Al proporcionar parámetros manipulados como parte de la configuración del nodo, un atacante podría escribir valores controlados por el atacante en `Object.prototype`. Un atacante podría usar esta contaminación de prototipos para lograr la ejecución remota de código en la instancia de n8n. El problema ha sido solucionado en las versiones de n8n 2.14.1, 2.13.3 y 1.123.27. Los usuarios deberían actualizar a una de estas versiones o posteriores para remediar la vulnerabilidad. Si la actualización no es posible de inmediato, los administradores deberían considerar las siguientes mitigaciones temporales: Limitar los permisos de creación y edición de flujos de trabajo solo a usuarios de plena confianza, y/o deshabilitar el nodo XML añadiendo `n8n-nodes-base.xml` a la variable de entorno `NODES_EXCLUDE`. Estas soluciones alternativas no remedian completamente el riesgo y solo deberían usarse como medidas de mitigación a corto plazo.
Impacto
Puntuación base 4.0
9.40
Gravedad 4.0
CRÍTICA