CVE-2026-54312
n8n: Microsoft SQL Node Prototype Pollution
En resumen
Una falla en el nodo Microsoft SQL de n8n permite que usuarios autorizados inyecten código malicioso que corrompe la base de la aplicación, rompiendo todas las validaciones y haciendo que todo el sistema sea inutilizable hasta reiniciar.
Detalle técnico
Usuarios autenticados con permiso para crear flujos de trabajo pueden explotar contaminación de prototipos a través de un parámetro de tabla manipulado en el nodo Microsoft SQL, corrompiendo Object.prototype globalmente. Esto causa fallos en cascada en las validaciones de la aplicación, dejando la instancia de n8n no funcional sin requerir ejecución de código o acceso a red externa.
Resumen generado y traducido por IA a partir de la descripción oficial.
n8n is an open source workflow automation platform. Prior to 2.24.0, an authenticated user with permission to create or modify workflows could achieve global prototype pollution via the Microsoft SQL node by supplying a crafted value as the table parameter. This pollutes Object.prototype process-wide for the lifetime of the n8n server process, causing application-wide validation failures and rendering the n8n instance completely non-functional until restarted. This vulnerability is fixed in 2.24.0.
CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:L/VI:L/VA:H/SC:N/SI:N/SA:N
Productos afectados
n8n-io · n8n¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →