n8n - CVE-2026-54312
Date de publication :
Il s'agit d'une vulnérabilité dans le nœud Microsoft SQL de n8n.
n8n est une plateforme d'automatisation de workflows open source, orientée intégration de services et traitement de données, avec prise en charge de nœuds de connexion à des sources tierces dont des bases de données SQL.
Un attaquant authentifié disposant des droits de création ou de modification de workflows peut fournir une valeur craftée dans le paramètre table du nœud. Cette valeur provoque une pollution globale du prototype JavaScript (Object.prototype) au niveau du processus Node.js. La pollution est persistante pour toute la durée de vie du processus serveur et entraîne des échecs de validation à l'échelle de l'application.
Elle permet de rendre l'instance n8n totalement non fonctionnelle jusqu'à son redémarrage, constituant un déni de service applicatif complet.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Oui
Déni de service (à distance)
Exploitation
CWE-1321 : Improperly Controlled Modification of Object Prototype Attributes ('Prototype Pollution')
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Authentification utilisateur simple
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Non
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
n8n versions antérieures à 2.24.0
Contournement provisoire
• Désactiver le nœud Microsoft SQL via la variable d'environnement NODES_EXCLUDE en y ajoutant n8n-nodes-base.microsoftSql