Cybersecurity-Forscher haben mehrere kritische Schwachstellen in n8n, der Workflow-Automatisierungsplattform, die in den letzten Lieferungen des Projekts korrigiert wurden, ausgesetzt. Die Fehler erlauben die Remote-Befehlsausführung zur Auswertung von Ausdrücken ohne Authentifizierung durch öffentliche Formulare und riskieren sowohl selbstverwaltete Einrichtungen als auch Cloud-Einstellungen.
Zwei der schwersten Fehler entsprechen den Kennungen CVE-2026-27577 und CVE-2026-27493. Der erste ist ein Isolationsbruch im Expressionskompilator: Ein Fall, der nicht innerhalb des abstrakten Syntaxbaum-Rewriters behandelt wurde, ermöglicht es, bestimmte Ausdrücke ohne die erwartete Sicherheitstransformation auszuführen, indem die Tür zur Ausführung von Befehlen auf dem Server geöffnet wird, wenn ein Benutzer mit ausreichenden Berechtigungen einen Fluss erzeugt oder verändert. Die zweite nutzt die öffentliche Funktion der Endpunkte von n8n-Formen: Ein Doppelauswertungsmechanismus in den Formknoten kann es einem Angreifer ermöglichen, schädliche Ausdrücke ohne Authentifizierung zu injizieren, beispielsweise mit einem exponierten Kontaktformular.
Die Kombination beider Fehler kann besonders gefährlich sein: die nicht authentifizierte Auswertung eines Ausdrucks in einer öffentlichen Form kann mit einer Flucht aus der Expressionssandbox gekettet werden, um Codeausführung im Host mit n8n zu erreichen. Forschung Sicherheit der Pillen Sie zeigten Szenarien, in denen es genug war, eine Last in das Feld "Name" eines Formulars einzutragen, um Befehle im betroffenen System auszuführen.
Zusätzlich zu diesen Vektoren haben n8n-Betreuer zwei zusätzliche kritische Schwachstellen korrigiert, die auch zur beliebigen Codeausführung führen könnten: CVE-2026-27495, im Zusammenhang mit der JavaScript Task Exchange Sandbox, und CVE-2026-27497, die den SQL-Abfragemodus des Merge-Knotens beeinflusst und willkürliche Dateien auf dem Server schreiben darf.
Die betroffenen Versionen umfassen frühere und mittlere Zweige des Projekts: Versionen vor 1.123.22, die Serie 2.0.0 bis 2.9.2, und die Serie 2.10.0 bis 2.10.0 inklusive. Die Patches sind in 1.123.22, 2.9.3 und 2.10.1. Offizielle Hinweise und technische Details finden Sie in den Sicherheitsrepositorien des Projekts in GitHub und in der Analyse der Entdecker; für mehr technische Kontext und konkrete Maßnahmen, überprüfen Sie die Einträge zu den Links der Gemeinschaft selbst: die Sicherheitshinweise von n8n in GitHub und der Bericht von Pillar Security.
Das praktische Risiko ist hoch, da neben dem laufenden Code ein erfolgreicher Angreifer auf die Umgebungsvariable zugreifen konnte, die n8n verwendet, um Anmeldeinformationen zu verschlüsseln ( N8N _ ENCRYPTION _ KEY) und damit entschlüsseln Sie Token, AWS-Tasten, Datenbank-Passwörter und andere Geheimnisse, die im Beispiel aufbewahrt werden. Aus diesem Grund ermöglicht die Operation nicht nur die Steuerung des Servers, sondern auch das Engagement von Integrationen und von den Strömen verbundenen Dienstleistungen.
Wenn die Verwaltung der sofortigen Aktualisierung nicht machbar ist, empfiehlt n8n, die Belichtungsfläche zu reduzieren: Einschränkung, wer Ströme erstellen und bearbeiten kann - Begrenzung dieser Genehmigungen für voll vertrauenswürdiges Personal -, n8n in Umgebungen mit reduzierten Systemvorteilen und strengen Netzkontrollen laufen, und Anwendung spezifischer Minderungen an gefährdeten Knoten. Die vorgeschlagenen temporären Aktionen umfassen den Ausschluss der Formularknoten (n8n-no-base.formundn8n-nodes-base.formTrigger) durch die Umgebungsvariable- Ja., die Verwendung des externen Läufermodus (N8N _ RUNNERS _ MODE = extern) den Umfang des JavaScript-Austauschers und gegebenenfalls die Merge-Knoten-Deaktivierung einzuschränken. N8n-Entwickler erinnern daran, dass es sich um vorläufige Lösungen handelt und die Installation von offiziellen Patches nicht ersetzen.
Für Betreiber, die über die Integrität ihrer Umgebungen besorgt sind, ist es ratsam, neben der Anwendung der Updates die Verwendung von Formularknoten und exponierten öffentlichen Routen zu überprüfen, Schlüssel und Geheimnisse zu drehen, wenn Engagement vermutet wird, Protokolle und ungewöhnliche Aktivität überprüfen und Netzwerksegmentierung und Zugriffsrichtlinien rund um den n8n Server stärken. Die Konsultation von Datensätzen und die Suche nach unerwarteten Ausführungen von Befehlen oder Änderungen von Workflows sind praktische Schritte, um Ausbeutungsversuche zu erkennen.
Obwohl bisher keine öffentlichen Berichte über die Massenausbeutung in produktiven Umgebungen vorliegen, machen die Schwere der Misserfolge und die einfache Nutzung in Szenarien mit öffentlichen Formularen eine sofortige Aktualisierung der Hauptempfehlung. Sie können die Korrekturen in den offiziellen N8n-Notizen in GitHub lesen und der technischen Analyse im Pillar Security-Bericht folgen, um die Angriffsketten und Verpflichtungsindikatoren besser zu verstehen.
Nützliche Links zur Vertiefung: Erklärung und Patches in GitHubs Beratern auf CVE-2026-27577 und CVE-2026-27493, Säule Sicherheitsanalyse zur Ausbeutung über Formulare Hier. und andere Korrekturen im Zusammenhang mit den Projektsicherheitshinweisen: CVE-2026-27495 und CVE-2026-27497. Für öffentliche Sicherheitsreferenzen überprüfen Sie den entsprechenden Eintrag im NIST / NVD-Inventar, wenn verfügbar: https: / / nvd.nist.gov.
Kurz gesagt, die Lektion für Sicherheitsadministratoren und Geräte ist klar: für Systeme, die Logik oder Code in Laufzeit ausführen lassen, ist die Kombination von unvollständigen Endpunkten und Sandboxen ein kritischer Vektor. Bewerben Sie Patches, reduzieren Sie die Berechtigungen und entfernen Sie unnötige Knoten sind sofortige Maßnahmen, die das Risiko reduzieren, während Sie eine umfassendere Antwort abschließen.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...
PinTheft die öffentliche Explosion, die Ihnen Wurzel auf Arch Linux geben könnte
Eine neue öffentliche Explosion hat die Fragilität des Linux-Privileg-Modells wieder auf die Oberfläche gebracht: Das V12-Sicherheitsteam nannte den Ausfall als PinTheater und v...