Facebook Instagram Linkedin X-twitter
C/Zaplana, 11 - Entlo. Yecla, Murcia (30510)

Vulnerabilidades y Avisos de Seguridad: Contaminación de prototipos en n8n

In Noticias y Avisos CiberseguridadPosted

Contaminación de prototipos en n8n

Aviso
Recursos Afectados

Las siguientes versiones de n8n:

  • 2.18.0;
  • Desde la 2.17.0 hasta la 2.17.3;
  • Menores a la 1.123.32.
Descripción

a-tallat y simonkoeck han descubierto 2 vulnerabilidades de severidad crítica que, en caso de ser explotadas, podrían permitir la ejecución de código en remoto.

Identificador
INCIBE-2026-320

Solución

Actualizar el producto a las siguientes versiones respectivamente:

  • 2.18.1;
  • 2.17.4;
  • 1.123.32.

En caso de que no se sea posible instalar la actualización inmediatamente, se pueden aplicar, de forma temporal, las siguientes contramedidas:

  • Limitar los permisos de creación y edición de flujos de trabajo (workflows) a solo usuarios en los que se confíe plenamente.
  • Deshabilitar el nodo XML añadiendo “n8n-nodes-base.xml” a la variable de entorno “NODES_EXCLUDE”.
Detalle
  • CVE-2026-42231:un fallo en la biblioteca “xml2js” utilizada para analizar los cuerpos de las solicitudes XML en el gestor de webhooks de n8n permite la contaminación de prototipos mediante una carga útil XML manipulada. Un usuario autenticado con permisos para crear o modificar flujos de trabajo puede explotar esto para contaminar el prototipo del objeto JavaScript y, al encadenar la contaminación con las operaciones SSH del nodo Git, lograr la ejecución de código en remoto en el host n8n.
  • CVE-2026-42232: un usuario autenticado con permisos para crear o modificar flujos de trabajo puede lograr una contaminación de prototipos global a través de un nodo XML y, de este modo, ejecutar código en remoto cuando se combina con otros nodos y se explota la polución de prototipos.
5 – Crítica
Listado de referencias
Github – n8n has Prototype Pollution in XML Webhook Body Parser that Leads to RCE
Github – n8n has XML Node Prototype Pollution that to RCE

CVE
Identificador CVE Severidad Explotación Fabricante
CVE-2026-42231 Crítica No n8n
CVE-2026-42232 Crítica No n8n

Fuente: link

Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen.

TechConsulting muestra este contenido por creer en su fuente y como servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.

Para más información o dudas en Ciberseguridad aplicada a la empresa, puede ver nuestro catálogo de productos en Servicios TechConsulting o puede contactar con nosotros para resolver cualquier cuestión que pueda tener.