n8n: Vulnerabilidade de poluição de protótipo em webhooks públicos

Uma vulnerabilidade de poluição de protótipo no n8n permitia que um payload de webhook público manipulado injetasse campos controlados pelo atacante nos dados do workflow durante a cópia interna de objetos. Esses campos podiam ser expostos e consumidos por nós internos, possibilitando um ataque de confusão de papéis (confused deputy).

Usuários executando n8n anteriores a 2.25.7 ou 2.26.2 que possuem workflows combinando webhooks públicos com nós de ação que consomem campos de entrada, especialmente aqueles que usam credenciais sensíveis ou operações de banco de dados.

Atualize o n8n para a versão 2.25.7, 2.26.2 ou superior. Se a atualização imediata não for possível, evite expor workflows de webhook público que passam dados por nós de transformação para nós de ação com credenciais sensíveis ou operações de banco de dados, e limite as permissões de criação e edição de workflows a usuários confiáveis.