Podatność w bibliotece xml2js używanej przez n8n do parsowania żądań XML pozwala uwierzytelnionemu użytkownikowi na przeprowadzenie prototype pollution, a następnie zdalnego wykonania kodu (RCE) na serwerze n8n. Ze względu na krytyczny wynik CVSS 9.4 i możliwość przejęcia kontroli nad hostem, zagrożenie wymaga natychmiastowej reakcji.
▸ Pokaż oryginał (EN)
n8n is an open source workflow automation platform. Prior to versions 1.123.32, 2.17.4, and 2.18.1, a flaw in the xml2js library used to parse XML request bodies in n8n's webhook handler allowed prototype pollution via a crafted XML payload. An authenticated user with permission to create or modify workflows could exploit this to pollute the JavaScript object prototype and, by chaining the pollution with the Git node's SSH operations, achieve remote code execution on the n8n host. This issue has been patched in versions 1.123.32, 2.17.4, and 2.18.1.
Atakujący z uprawnieniami do tworzenia lub modyfikowania workflow wysyła spreparowany payload XML do webhook handlera n8n. Biblioteka xml2js parsuje go w sposób umożliwiający prototype pollution — zatruwanie prototypu obiektów JavaScript globalnie dostępnych w środowisku uruchomieniowym. Poprzez połączenie tego mechanizmu z operacjami SSH wykonywanymi przez węzeł Git (Git node), atakujący jest w stanie doprowadzić do wykonania dowolnego kodu na maszynie hostującej n8n.
Atakujący może uzyskać możliwość zdalnego wykonania kodu (RCE) na serwerze n8n, co w praktyce oznacza pełne przejęcie kontroli nad hostem oraz potencjalny dostęp do danych i systemów wewnętrznych.
Należy zaktualizować n8n do wersji 1.123.32, 2.17.4 lub 2.18.1, w których błąd został załatany. Do czasu aktualizacji należy rozważyć ograniczenie uprawnień użytkowników do tworzenia i modyfikowania workflow oraz zablokowanie zewnętrznego dostępu do webhook handlerów.
n8n w wersjach wcześniejszych niż 1.123.32, 2.17.4 oraz 2.18.1
CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XN8n
APPN8N2.18.0< 1.123.322.17.0 – 2.17.4 (bez)
Powiązane podatności
RCE w systemie ewaluacji wyrażeń n8n — krytyczna podatność
RCE w n8n poprzez ominięcie łatki CVE-2026-42232 w węźle XML
n8n: prototype pollution w HTTP Request node prowadzący do RCE
Wstrzyknięcie flag CLI w węźle Git platformy n8n — odczyt dowolnych plików
n8n: global prototype pollution przez XML Node prowadzący do RCE