CRITICAL🇬🇧 English

CVE-2026-42231

Prototype Pollution w n8n prowadzące do RCE przez webhook handler

CVSS 9.4v4.0pub. 2026-05-04upd. 2026-05-06

Podatność w bibliotece xml2js używanej przez n8n do parsowania żądań XML pozwala uwierzytelnionemu użytkownikowi na przeprowadzenie prototype pollution, a następnie zdalnego wykonania kodu (RCE) na serwerze n8n. Ze względu na krytyczny wynik CVSS 9.4 i możliwość przejęcia kontroli nad hostem, zagrożenie wymaga natychmiastowej reakcji.

Pokaż oryginał (EN)

n8n is an open source workflow automation platform. Prior to versions 1.123.32, 2.17.4, and 2.18.1, a flaw in the xml2js library used to parse XML request bodies in n8n's webhook handler allowed prototype pollution via a crafted XML payload. An authenticated user with permission to create or modify workflows could exploit this to pollute the JavaScript object prototype and, by chaining the pollution with the Git node's SSH operations, achieve remote code execution on the n8n host. This issue has been patched in versions 1.123.32, 2.17.4, and 2.18.1.

🤖 Analiza AI
Jak działa

Atakujący z uprawnieniami do tworzenia lub modyfikowania workflow wysyła spreparowany payload XML do webhook handlera n8n. Biblioteka xml2js parsuje go w sposób umożliwiający prototype pollution — zatruwanie prototypu obiektów JavaScript globalnie dostępnych w środowisku uruchomieniowym. Poprzez połączenie tego mechanizmu z operacjami SSH wykonywanymi przez węzeł Git (Git node), atakujący jest w stanie doprowadzić do wykonania dowolnego kodu na maszynie hostującej n8n.

Skutki

Atakujący może uzyskać możliwość zdalnego wykonania kodu (RCE) na serwerze n8n, co w praktyce oznacza pełne przejęcie kontroli nad hostem oraz potencjalny dostęp do danych i systemów wewnętrznych.

Mitygacja

Należy zaktualizować n8n do wersji 1.123.32, 2.17.4 lub 2.18.1, w których błąd został załatany. Do czasu aktualizacji należy rozważyć ograniczenie uprawnień użytkowników do tworzenia i modyfikowania workflow oraz zablokowanie zewnętrznego dostępu do webhook handlerów.

Kogo dotyczy

n8n w wersjach wcześniejszych niż 1.123.32, 2.17.4 oraz 2.18.1

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • N8n

    APP
    N8N
    2.18.0< 1.123.322.17.0 – 2.17.4 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCE
CWE
Referencje

Powiązane podatności

CVE-2025-68613CRITICAL9.9⚠ KEVPL ✓ten sam produkt

RCE w systemie ewaluacji wyrażeń n8n — krytyczna podatność

CVE-2026-44791CRITICAL9.4PL ✓ten sam produkt

RCE w n8n poprzez ominięcie łatki CVE-2026-42232 w węźle XML

CVE-2026-44789CRITICAL9.4PL ✓ten sam produkt

n8n: prototype pollution w HTTP Request node prowadzący do RCE

CVE-2026-44790CRITICAL9.4PL ✓ten sam produkt

Wstrzyknięcie flag CLI w węźle Git platformy n8n — odczyt dowolnych plików

CVE-2026-42232CRITICAL9.4PL ✓ten sam produkt

n8n: global prototype pollution przez XML Node prowadzący do RCE

CVE-2026-42231 — Prototype Pollution w n8n prowadzące do RCE przez webhook handler — CRITICAL 9.4 | CVEbaza.pl