CVE-2026-25049 n8n-kwetsbaarheid
Een recent ontdekte beveiligingskwetsbaarheid in het n8n-platform voor workflowautomatisering maakt het mogelijk om onder bepaalde omstandigheden willekeurige systeemopdrachten uit te voeren. De kwetsbaarheid wordt geregistreerd onder CVE-2026-25049 en heeft een CVSS-score van 9,4, wat duidt op een kritieke ernst. Indien succesvol misbruikt, stelt de kwetsbaarheid aanvallers in staat om opdrachten op systeemniveau uit te voeren op de server waarop n8n draait.
Inhoudsopgave
Het omzeilen van een eerder verholpen beveiligingslek.
CVE-2026-25049 is het gevolg van onvoldoende sanering, waardoor de beveiligingsmaatregelen die zijn ingevoerd om CVE-2025-68613 (CVSS 9.9) te verhelpen, worden omzeild. Deze kritieke kwetsbaarheid werd in december 2025 verholpen. Uit latere analyses is gebleken dat de nieuwere CVE in feite een omzeiling is van de oorspronkelijke oplossing, in plaats van een volledig apart probleem. Onderzoekers hebben aangetoond dat beide kwetsbaarheden aanvallers in staat stellen om de expressie-sandbox van n8n te omzeilen en bestaande beveiligingscontroles te ontwijken. Na de eerdere openbaarmaking werden ook aanvullende zwakheden in de expressie-evaluatie geïdentificeerd en verholpen.
Aanvalsvereisten en exploitatiemechanismen
Iedere geauthenticeerde gebruiker met toestemming om workflows te creëren of te wijzigen, kan de kwetsbaarheid misbruiken. Door speciaal geconstrueerde expressies in workflowparameters te injecteren, is het mogelijk om onbedoelde systeemopdrachten uit te voeren. Een bijzonder gevaarlijk scenario is het creëren van een workflow die een publiekelijk toegankelijke webhook beschikbaar stelt zonder authenticatie. Door een enkele regel JavaScript met behulp van destructuring-syntaxis in te sluiten, kunnen aanvallers ervoor zorgen dat de workflow systeemopdrachten uitvoert. Zodra een dergelijke workflow is geactiveerd, kan elke externe partij de webhook activeren en op afstand opdrachten uitvoeren.
De ernst van de situatie neemt nog verder toe in combinatie met de webhookfunctionaliteit van n8n, waardoor kwaadaardige workflows publiekelijk kunnen worden blootgesteld. In dergelijke gevallen zijn voor exploitatie geen hogere privileges nodig dan het aanmaken van workflows, wat het risico onderstreept dat onderzoekers als volgt samenvatten: als het aanmaken van workflows is toegestaan, is een volledige compromittering van de server mogelijk.
Hoofdoorzaak: hiaten in typecontrole en misbruik tijdens runtime.
De kwetsbaarheid komt voort uit hiaten in de saneringsmechanismen van n8n en een fundamentele mismatch tussen het compileertijdtypesysteem van TypeScript en het runtimegedrag van JavaScript. Hoewel TypeScript typebeperkingen afdwingt tijdens de compilatie, kan het deze beperkingen niet garanderen voor door aanvallers gecontroleerde waarden die tijdens runtime worden ingevoerd. Door niet-stringwaarden zoals objecten of arrays aan te leveren, kunnen aanvallers de saneringslogica omzeilen die uitgaat van invoer die alleen strings bevat, waardoor cruciale beveiligingsmaatregelen effectief worden geneutraliseerd.
Mogelijke impact op systemen en gegevens
Succesvolle exploitatie kan leiden tot een volledige compromittering van de server. Aanvallers kunnen inloggegevens stelen, gevoelige gegevens buitmaken, toegang krijgen tot het bestandssysteem en interne services, toegang krijgen tot verbonden cloudomgevingen en workflows voor kunstmatige intelligentie kapen. De mogelijkheid om permanente backdoors te installeren vergroot het risico op langdurige, heimelijke toegang nog verder.
Betrokken versies en richtlijnen voor het beperken van de gevolgen
De kwetsbaarheid treft n8n-versies die ouder zijn dan de gepatchte releases en werd ontdekt met de hulp van tien onafhankelijke beveiligingsonderzoekers. De volgende versies zijn getroffen, samen met aanbevolen tijdelijke oplossingen voor het geval direct patchen niet mogelijk is:
Betreffende versies: n8n-versies ouder dan 1.123.17 en 2.5.2, waar al oplossingen zijn uitgebracht.
Aanbevolen maatregelen: beperk het aanmaken en bewerken van workflows tot volledig vertrouwde gebruikers en implementeer n8n in een beveiligde omgeving met beperkte besturingssysteemrechten en beperkte netwerktoegang.
Dit probleem benadrukt de noodzaak van gelaagde validatiestrategieën. Garanties tijdens het compileren moeten worden aangevuld met strenge runtime-controles, met name bij het verwerken van onbetrouwbare invoer. Codebeoordelingen moeten zich richten op saneringsroutines en aannames over invoertypen vermijden die niet tijdens runtime worden afgedwongen.
Aanvullende ernstige n8n-kwetsbaarheden
Naast CVE-2026-25049 heeft n8n waarschuwingen gepubliceerd voor vier andere beveiligingslekken, waarvan er twee als kritiek worden beschouwd:
CVE-2026-25053 (CVSS 9.4) : Injectie van besturingssysteemopdrachten in het Git-knooppunt, waardoor geauthenticeerde gebruikers met workflowrechten opdrachten kunnen uitvoeren of willekeurige bestanden kunnen lezen; verholpen in versies 2.5.0 en 1.123.10.
CVE-2026-25054 (CVSS 8.5) : Een opgeslagen cross-site scripting-kwetsbaarheid in een markdown-renderingcomponent, waardoor scriptuitvoering met same-origin privileges en potentiële accountovername mogelijk is; verholpen in versies 2.2.1 en 1.123.9.
CVE-2026-25055 (CVSS 7.1) : Probleem met padtraversal in het SSH-knooppunt dat kan leiden tot het schrijven van bestanden op onbedoelde locaties en mogelijke uitvoering van code op afstand op doelsystemen; opgelost in versies 2.4.0 en 1.123.12.
CVE-2026-25056 (CVSS 9.4) : Kwetsbaarheid voor het willekeurig schrijven van bestanden in de SQL-querymodus van het Merge-knooppunt, wat mogelijk kan leiden tot het uitvoeren van code op afstand; verholpen in versies 2.4.0 en 1.118.0.
Spoedig bijwerken om risico’s te verminderen
Gezien de omvang en ernst van de geïdentificeerde kwetsbaarheden, wordt ten zeerste aanbevolen om n8n-implementaties bij te werken naar de nieuwste beschikbare versies. Het tijdig installeren van patches blijft de meest effectieve verdediging tegen misbruik en daaropvolgende inbreuken.
