CVE-2026-33696n8n是一个开源工作流自动化平台。在特定版本之前,拥有工作流权限的认证用户可利用XML和GSuiteAdmin节点的原型污染漏洞。攻击者通过构造恶意参数修改Object.prototype,从而实现远程代码执行。该漏洞风险极高,官方已发布修复版本,建议立即升级。
该漏洞源于n8n的XML和GSuiteAdmin节点在处理节点配置参数时,未对输入数据进行严格的安全校验,导致存在原型污染(Prototype Pollution)。攻击者可以发送特制的恶意参数,将攻击者控制的值写入JavaScript的`Object.prototype`对象中。利用JavaScript的原型继承机制,攻击者能够操纵应用程序逻辑,最终在n8n实例服务器上执行任意代码。
暂无PoC代码
暂无版本信息