目标达成 感谢每一位支持者 — 我们达成了 100% 目标!

目标: 1000 元 · 已筹: 1000

100.0%
请我们喝杯咖啡

CVE-2026-42231— n8n XML Webhook Body Parser 原型污染导致远程代码执行漏洞

EPSS 0.27% · P50
获取后续新漏洞提醒登录后订阅

一、 漏洞 CVE-2026-42231 基础信息

漏洞信息
对漏洞内容有疑问?看看神龙的深度分析是否有帮助!
查看神龙十问 ↗

尽管我们使用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。神龙努力确保数据的准确性,但请您根据实际情况进行核实和判断。

Vulnerability Title
n8n: Prototype Pollution in XML Webhook Body Parser Leads to RCE
来源: 美国国家漏洞数据库 NVD
Vulnerability Description
n8n is an open source workflow automation platform. Prior to versions 1.123.32, 2.17.4, and 2.18.1, a flaw in the xml2js library used to parse XML request bodies in n8n's webhook handler allowed prototype pollution via a crafted XML payload. An authenticated user with permission to create or modify workflows could exploit this to pollute the JavaScript object prototype and, by chaining the pollution with the Git node's SSH operations, achieve remote code execution on the n8n host. This issue has been patched in versions 1.123.32, 2.17.4, and 2.18.1.
来源: 美国国家漏洞数据库 NVD
CVSS Information
N/A
来源: 美国国家漏洞数据库 NVD
Vulnerability Type
CWE-1321
来源: 美国国家漏洞数据库 NVD

受影响产品

厂商产品影响版本CPE订阅
n8n-ion8n < 1.123.32 -

二、漏洞 CVE-2026-42231 的公开POC

#POC 描述源链接神龙链接
AI 生成 POC高级

未找到公开 POC。

登录以生成 AI POC

三、漏洞 CVE-2026-42231 的情报信息

Please 登录 to view more intelligence information

同批安全公告 · n8n-io · 2026-05-04 · 共 12 条

CVE-2026-42232n8n XML 节点原型污染导致远程代码执行
CVE-2026-42233n8n Oracle数据库节点限制字段SQL注入漏洞
CVE-2026-42229n8n SeaTable节点SQL注入漏洞
CVE-2026-42228n8n 未授权聊天劫持漏洞
CVE-2026-42235n8n MCP OAuth客户端XSS漏洞
CVE-2026-42236n8n 未认证拒绝服务漏洞
CVE-2026-42237n8n Snowflake及MySQL节点SQL注入漏洞
CVE-2026-42226n8n凭证授权绕过漏洞
CVE-2026-42230n8n MCP OAuth流程中开放重定向漏洞
CVE-2026-42234n8n Python任务执行器沙箱逃逸漏洞
CVE-2026-42227n8n Public API变量IDOR漏洞导致跨项目密钥泄露

IV. Related Vulnerabilities

Same product: n8n
Same vendor: n8n-io
Same weakness: CWE-1321

V. Comments for CVE-2026-42231

暂无评论

发表评论