CVE-2026-42231

Nome do Software Vulnerável e Versões Afetadas n8n versões anteriores a 1.123.32 n8n versões anteriores a 2.17.4 n8n versões anteriores a 2.18.1

Description Uma falha na biblioteca xml2js usada para analisar corpos de requisição XML no manipulador de webhook permite a poluição de protótipo (prototype pollution) por meio de um payload XML manipulado. A poluição de protótipo é uma técnica onde um invasor manipula o protótipo de um objeto base para alterar o comportamento da aplicação. Um usuário autenticado com permissões para criar ou modificar fluxos de trabalho pode explorar isso para poluir o protótipo do objeto JavaScript e, ao encadear isso com as operações SSH do nó Git, alcançar a execução remota de código no host.

Recommendations Atualize para a versão 1.123.32 ou posterior. Atualize para a versão 2.17.4 ou posterior. Atualize para a versão 2.18.1 ou posterior. Limite as permissões de criação e edição de fluxos de trabalho apenas a usuários totalmente confiáveis.