CVE-2026-54306— n8n 原型污染致公共Webhooks混淆副手执行漏洞
获取后续新漏洞提醒登录后订阅
一、 漏洞 CVE-2026-54306 基础信息
漏洞信息
对漏洞内容有疑问?看看神龙的深度分析是否有帮助!
查看神龙十问 ↗ 尽管我们使用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。神龙努力确保数据的准确性,但请您根据实际情况进行核实和判断。
Vulnerability Title
n8n: Prototype Pollution enables confused-deputy execution via public webhooks
来源: 美国国家漏洞数据库 NVD
Vulnerability Description
n8n is an open source workflow automation platform. Prior to 2.25.7 and 2.26.2, a prototype pollution vulnerability allowed a crafted public webhook payload to inject attacker-controlled fields into workflow data during internal object copying. These fields could be surfaced and consumed as normal values by downstream built-in nodes. Where a workflow combines a public webhook with action nodes that consume the resulting fields, an attacker could cause the workflow to act as a confused deputy — targeting unintended records or issuing outbound requests using the workflow owner's configured credentials. This vulnerability is fixed in 2.25.7 and 2.26.2.
来源: 美国国家漏洞数据库 NVD
CVSS Information
N/A
来源: 美国国家漏洞数据库 NVD
Vulnerability Type
CWE-1321
来源: 美国国家漏洞数据库 NVD
受影响产品
二、漏洞 CVE-2026-54306 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
AI 生成 POC高级
未找到公开 POC。
登录以生成 AI POC三、漏洞 CVE-2026-54306 的情报信息
请登录查看更多情报信息。
CVE-2026-54306 其他参考 (1)
同批安全公告 · n8n-io · 2026-06-23 · 共 21 条
| CVE-2026-54314 | n8n Webhook工作流ZIP解压拒绝服务漏洞 | |
| CVE-2026-44791 | n8n XML节点原型污染补丁绕过漏洞 | |
| CVE-2026-44789 | n8n HTTP请求节点原型污染致远程代码执行漏洞 | |
| CVE-2026-44792 | n8n 源控制拉取SQL注入漏洞 | |
| CVE-2026-44790 | n8n Git节点任意文件读取漏洞 | |
| CVE-2026-49444 | n8n Python沙箱逃逸漏洞 | |
| CVE-2026-49465 | n8n Git节点克隆推送操作绕过文件沙箱 | |
| CVE-2026-54304 | n8n SecurityScorecard 节点泄露 API 令牌漏洞 | |
| CVE-2026-54301 | n8n Respond to Webhook Node同源XSS漏洞 | |
| CVE-2026-54310 | n8n Postgres/TimescaleDB节点SQL注入漏洞 | |
| CVE-2026-45732 | n8n 动态凭证 OAuth 端点跨用户授权绕过漏洞 | |
| CVE-2026-54302 | n8n Chat Trigger Node 存储型XSS漏洞 | |
| CVE-2026-54313 | n8n MongoDB节点NoSQL注入漏洞 | |
| CVE-2026-54303 | n8n 通过 Facebook、WhatsApp 和 Microsoft Teams 触发的反射型 XSS 漏洞 | |
| CVE-2026-54305 | n8n 动态凭证端点越权导致凭证劫持漏洞 | |
| CVE-2026-54307 | n8n 凭据泄露漏洞 | |
| CVE-2026-54308 | n8n微软365代理触发节点令牌验证缺失漏洞 | |
| CVE-2026-54312 | n8n Microsoft SQL 节点原型污染漏洞 | |
| CVE-2026-54309 | n8n MCP Browser HTTP传输漏洞导致未认证会话暴露 | |
| CVE-2026-54311 | n8n Merge Node SQL模式原型污染漏洞 |
IV. Related Vulnerabilities
V. Comments for CVE-2026-54306
暂无评论