文章总结: CVE-2026-42232是n8n工作流编辑器XML节点的原型污染漏洞,允许低权限用户通过恶意XML污染JavaScript原型链,结合其他节点实现远程代码执行,威胁整个集成数据通道。漏洞源于未过滤proto属性,需升级至修复版本并严格校验输入属性。 综合评分: 82 文章分类: 漏洞分析,WEB安全,应急响应,红队,云安全
CVE-2026-42232-n8n原型污染
whoami whoami
船山信安
2026年5月13日 18:11 广东
在小说阅读器读本章
去阅读
n8n的那个漏洞,让整个内部网络都成了敞开的门,有个叫simonkoeck的安全研究员,在今年4月给n8n官方提交了一份报告。他发现这个平台的工作流编辑器里藏着一个可以污染JavaScript原型链的漏洞,经过认证的低权限用户只需要有编辑工作流的权限,就能借此拿到服务器权限。
n8n简单说就是开源版的Zapier或者Make,企业用它把各种内部系统和SaaS服务串在一起自动化处理。跑财务报表、爬数据、更新数据库、对接AI模型,全靠这些工作流。想象一下,如果有人控制了你的n8n,那他控制的可不只是这一个工具,而是整个集成链条上的所有数据通道。
问题出在XML节点上。n8n的工作流编辑器有个节点叫XML,专门用来处理XML格式的数据。正常情况下,它就是老老实实解析XML,然后把结果交给下一步。但simonkoeck发现,解析的过程中它没有做好属性校验。
<__proto__>
<env>
<GIT_SSH_COMMAND>恶意命令</GIT_SSH_COMMAND>
</env>
<spawnoptions>恶意配置</spawnoptions>
</__proto__>
这就要说到JavaScript的原型链了。每个JS对象都有一个原型属性,默认指向Object.prototype。正常情况下,你给对象加属性就是这个对象自己的事。但如果某个库在处理输入的时候,没有严格过滤掉__proto__这个特殊键名,攻击者就可以把自己的__proto__属性塞进去,进而污染全局原型。这意味着所有对象都会”继承”这个恶意属性。
当你修改了Object.prototype.toString,那之后所有调用这个方法的地方都会执行你植入的逻辑。
拿到原型污染权限之后,下一步就是找别的节点来触发真正的代码执行。GitHub官方公告里写得很清楚,攻击者需要把原型污染和其他节点的运行行为”链”在一起。具体怎么链,那就是另一串技术细节了。
POC 仓库资源清单
| 文件 | 作用 |
| — | — |
| poc_GHSA-q5f4-99jv-pgg5.py | 独立 Python POC,支持验证/RCE两种模式,内置3种 XML payload 变体 |
| verify_GHSA-q5f4-99jv-pgg5.js | Node.js 本地验证脚本,无需真实 n8n 实例即可复现攻击链 |
| exploit.sh | 一键化脚本,支持靶场搭建、污染验证、RCE执行、环境清理 |
| Dockerfile + docker-compose.yml | 一键拉起漏洞版本 n8n(1.123.22)靶场+攻击容器 |
有个GitHub仓库叫advisories/GHSA-hqr4-h3xv-9m3r,专门记录了这个漏洞的官方公告。另外还有一个编号CVE-2026-42231的关联漏洞,那个是Webhook解析器的xml2js库的问题,和CVE-2026-42232这个XML节点的问题略有不同,但最终结果都是原型污染加RCE。两个编号一起修,说明问题可能比最初预想的要系统一些。
赶紧把版本升上去吧。
参考链接:https://github.com/rudSarkar/CVE-2026-42231
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:船山信安 whoami whoami《CVE-2026-42232-n8n原型污染》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论