n8n: Vulnerabilidade de poluição de protótipo no nó Merge (modo SQL Query)
Uma vulnerabilidade de poluição de protótipo no sandbox do modo SQL Query do nó Merge permite que usuários autenticados com permissões de criação/modificação de workflows poluam o contexto do sandbox, que é cacheado e reutilizado em todas as execuções de workflows.
O que mudou
Uma vulnerabilidade de poluição de protótipo no sandbox do modo SQL Query do nó Merge permite que usuários autenticados com permissões de criação/modificação de workflows poluam o contexto do sandbox, que é cacheado e reutilizado em todas as execuções de workflows. Isso pode levar à interceptação de dados de workflows processados por outros usuários em instâncias multi-usuário do n8n.
Quem isso afeta
Instâncias multi-usuário do n8n onde mais de um usuário tem permissão para criar e executar workflows que contenham o nó Merge no modo SQL Query.
O que fazer hoje
Atualize o n8n para a versão 2.25.7 ou 2.26.2 (ou superior). Se a atualização imediata não for possível, limite as permissões de criação/edição de workflows a usuários confiáveis e desabilite o nó Merge através da variável de ambiente NODES_EXCLUDE.