📄 Description (English)
n8n is an open source workflow automation platform. Prior to versions 1.123.32, 2.17.4, and 2.18.1, a flaw in the xml2js library used to parse XML request bodies in n8n's webhook handler allowed prototype pollution via a crafted XML payload. An authenticated user with permission to create or modify workflows could exploit this to pollute the JavaScript object prototype and, by chaining the pollution with the Git node's SSH operations, achieve remote code execution on the n8n host. This issue has been patched in versions 1.123.32, 2.17.4, and 2.18.1.
🤖 AI Executive Summary
CVE-2026-42231 is a critical prototype pollution vulnerability in n8n workflow automation platform affecting versions before 1.123.32, 2.17.4, and 2.18.1. Authenticated users can exploit XML parsing flaws to pollute JavaScript prototypes and achieve remote code execution by chaining with Git node SSH operations. This poses significant risk to Saudi organizations using n8n for critical workflow automation, particularly in financial and government sectors.
📄 Description (Arabic)
🤖 AI Intelligence Analysis Analyzed: May 8, 2026 13:36
🇸🇦 Saudi Arabia Impact Assessment
High impact for Saudi organizations in Banking (SAMA-regulated institutions), Government (NCA, digital transformation initiatives), Healthcare (MOH systems), and Energy (ARAMCO automation workflows). n8n is increasingly used for critical workflow automation in these sectors. Exploitation requires authenticated access but leads to complete system compromise via RCE. Organizations using n8n for payment processing, government service automation, or critical infrastructure workflows face severe operational and compliance risks.
🏢 Affected Saudi Sectors
Banking and Financial Services
Government and Public Administration
Healthcare
Energy and Utilities
Telecommunications
Manufacturing
Retail and E-commerce
🎯 MITRE ATT&CK Techniques
⚖️ Saudi Risk Score (AI)
8.5
/ 10.0
🔧 Remediation Steps (English)
IMMEDIATE ACTIONS:
1. Identify all n8n instances in your environment and document their versions
2. Restrict access to n8n workflow creation/modification to trusted administrators only
3. Implement network segmentation to isolate n8n instances from critical systems
4. Monitor n8n logs for suspicious XML payloads in webhook requests
5. Disable XML webhook handlers if not required for operations
PATCHING GUIDANCE:
1. Upgrade immediately to n8n versions 1.123.32, 2.17.4, or 2.18.1 or later
2. Test patches in non-production environments first
3. Plan maintenance windows for production upgrades
4. Verify Git node SSH functionality after patching
COMPENSATING CONTROLS (if immediate patching not possible):
1. Implement Web Application Firewall (WAF) rules to block XML payloads with prototype pollution patterns
2. Disable Git node SSH operations if not critical to workflows
3. Implement strict input validation on all webhook endpoints
4. Use application-level sandboxing for n8n processes
5. Monitor process execution and network connections from n8n instances
DETECTION RULES:
1. Alert on XML payloads containing '__proto__', 'constructor', or 'prototype' keywords in webhook requests
2. Monitor for unexpected child process spawning from n8n processes
3. Alert on SSH key access or Git operations initiated outside normal workflow patterns
4. Track modifications to JavaScript object prototypes in n8n runtime
5. Monitor for outbound SSH connections from n8n to unexpected hosts
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:
1. حدد جميع مثيلات n8n في بيئتك وقثق إصداراتها
2. قيد الوصول إلى إنشاء/تعديل سير العمل في n8n للمسؤولين الموثوقين فقط
3. طبق تقسيم الشبكة لعزل مثيلات n8n عن الأنظمة الحرجة
4. راقب سجلات n8n للحمولات XML المريبة في طلبات webhook
5. عطل معالجات webhook XML إذا لم تكن مطلوبة للعمليات
إرشادات التصحيح:
1. قم بالترقية فوراً إلى إصدارات n8n 1.123.32 أو 2.17.4 أو 2.18.1 أو أحدث
2. اختبر التصحيحات في بيئات غير الإنتاج أولاً
3. خطط نوافذ الصيانة لترقيات الإنتاج
4. تحقق من وظيفة Git node SSH بعد التصحيح
الضوابط البديلة (إذا لم يكن التصحيح الفوري ممكناً):
1. طبق قواعد جدار حماية تطبيقات الويب (WAF) لحجب حمولات XML بأنماط تلويث النموذج الأولي
2. عطل عمليات Git node SSH إذا لم تكن حرجة لسير العمل
3. طبق التحقق من صحة الإدخال الصارم على جميع نقاط نهاية webhook
4. استخدم الحماية بالرمل على مستوى التطبيق لعمليات n8n
5. راقب تنفيذ العملية والاتصالات الشبكية من مثيلات n8n
قواعد الكشف:
1. تنبيه على حمولات XML تحتوي على كلمات رئيسية '__proto__' أو 'constructor' أو 'prototype' في طلبات webhook
2. راقب توليد العمليات الفرعية غير المتوقعة من عمليات n8n
3. تنبيه على عمليات SSH أو Git التي تم بدؤها خارج أنماط سير العمل العادية
4. تتبع التعديلات على نماذج JavaScript الأولية في وقت تشغيل n8n
5. راقب الاتصالات الصادرة SSH من n8n إلى المضيفين غير المتوقعين
📋 Regulatory Compliance Mapping
🟢 NCA ECC 2024
5.1.1 - Access Control and Authentication
5.2.1 - Vulnerability Management
5.3.1 - Patch Management
5.4.1 - Secure Development Practices
5.5.1 - Incident Response
🔵 SAMA CSF
ID.AM-2 - Software Inventory
PR.IP-12 - Software Development Security
PR.PT-2 - Removable Media Protection
DE.CM-8 - Vulnerability Scanning
RS.MI-2 - Incident Containment
🟡 ISO 27001:2022
A.12.6.1 - Management of technical vulnerabilities
A.14.2.1 - Secure development policy
A.14.2.5 - Secure development environment
A.12.3.1 - Patch management
A.12.2.1 - Change management
🟣 PCI DSS v4.0.1
6.2 - Security patches installation
6.5.1 - Injection flaws prevention
11.2 - Vulnerability scanning
12.2 - Configuration standards
📦 Affected Products / CPE 3 entries
n8n:n8n
n8n:n8n
n8n:n8n:2.18.0