CVE-2026-54312
n8n: Microsoft SQL Node Prototype Pollution
Em resumo
Uma falha no nó Microsoft SQL do n8n permite que usuários autorizados injetem código malicioso que corrompe a base da aplicação, quebrando todas as validações e tornando todo o sistema inutilizável até reiniciar.
Detalhe técnico
Usuários autenticados com permissão para criar workflows podem explorar poluição de protótipos através de um parâmetro de tabela manipulado no nó Microsoft SQL, corrompendo Object.prototype globalmente. Isso causa falhas em cascata nas validações da aplicação, tornando a instância do n8n não funcional sem necessidade de execução de código ou acesso à rede externa.
Resumo gerado e traduzido por IA a partir da descrição oficial.
n8n is an open source workflow automation platform. Prior to 2.24.0, an authenticated user with permission to create or modify workflows could achieve global prototype pollution via the Microsoft SQL node by supplying a crafted value as the table parameter. This pollutes Object.prototype process-wide for the lifetime of the n8n server process, causing application-wide validation failures and rendering the n8n instance completely non-functional until restarted. This vulnerability is fixed in 2.24.0.
CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:L/VI:L/VA:H/SC:N/SI:N/SA:N
Produtos afetados
n8n-io · n8nQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →