Die Security Community hat in n8n, der Workflow-Automatisierungsplattform, einen schweren Ausfall erkannt, der die Remote-Ausführung von Befehlen auf dem Server ermöglicht, auf denen die Anwendung läuft, wenn sie erfolgreich ausgenutzt wird. Das Problem, aufgezeichnet als CVE-2026-25049 und mit einer hohen Punktzahl im CVSS-System (9.4), ist es eine Evasion von sanitären Kontrollen bei der Auswertung von Ausdrücken, die teilweise eine Korrektur im letzten Jahr für die Verwundbarkeit CVE-2025-68613 (CVSS 9.9) angewendet rückgängig macht.
N8n-Betreuer veröffentlichten in GitHub eine Mitteilung, dass ein authentifizierter Benutzer mit Berechtigungen zum Erstellen oder Bearbeiten von Strömen Ausdrücke injizieren kann, die speziell in Durchflussparametern gebaut wurden, die aus dem Sandkasten-Mechanismus auslaufen und die Ausführung von Host-Systembefehlen verursachen. Die offizielle Erklärung und die korrigierten Versionen in der Sicherheitshinweis N8n in GitHub.
Aus technischer Sicht ist die Wurzel des Problems der Unterschied zwischen den Kontrollen TypScript in der Erstellungszeit und was in Laufzeit mit JavaScript passiert. Wie mehrere Forscherteams erklärt haben, einschließlich Endor Labs, TypeScript kann helfen zu identifizieren, dass bestimmte Eigenschaft sollte eine Kette im Quellcode sein, aber diese Garantien verschwinden, wenn Werte, die ein Angreifer dynamisch einführt. Nutzen Sie dies, können Sie unerwartete Werte (Objekte, Arrays, Symbole, etc.) passieren, die die sanitären Funktionen verspotten und Ihnen erlauben, den Safe zu verlassen.
Unabhängige Forscher haben technische Analysen veröffentlicht, die veranschaulichen, wie Evasion erreicht wird und wie Schritte zur Realisierung einer Fernausführung gekettet werden. Die ausführliche Arbeit enthält eine detaillierte Aufschlüsselung der verwendeten Techniken und praktischen Beispiele; eine dieser detaillierten Analysen ist in Fatih Çeliks Forschung über die Sequenz von Fehlern und Bypass zu finden: n8n RCEs: Eine Geschichte von 4 Akten.
Das Risiko wird in Verbindung mit der Funktionalität von n8n Webhooks erhöht. Wenn ein Angreifer einen Fluss mit einem öffentlichen und unauthenticated Webhold erstellt, können Sie die Ladung einfügen, die Befehlsausführung verursacht und, sobald der Fluss aktiviert ist, jeder, der den Endpunkt kennt, kann es schießen und Code auf dem Server ausführen. Ausrüstungen wie Sicherheit und Sicherheit und Sicherheit der Pillen haben detaillierte Auswirkungen Szenarien, die API-Schlüsseldiebstahl, Zugriff auf Cloud-Geheimnisse, laterale Bewegung zu verbundenen Konten und die Kontrolle von Workflows im Zusammenhang mit künstlichen Intelligenz-Diensten.
n8n hat Korrekturen in den betroffenen Zweigen freigegeben; die Versionen mit den Patches sind 1.123.17 für die 1.x-Serie und 2.5.2 für die 2.xserie. Update auf eine parierte Version sollte die erste Priorität für jede verletzliche Bereitstellung sein. Wenn es nicht möglich ist, das Update sofort anzuwenden, ist es angebracht, kompensatorische Maßnahmen zu ergreifen, um die Exposition zu reduzieren: Grenzen, die Ströme zu einer kleinen Gruppe von vertrauenswürdigen Benutzern erstellen und bearbeiten können, deaktivieren oder schützen öffentliche Websites, und führen n8n in Umgebungen mit eingeschränkten Systemprivilegien und Netzwerkregeln, um Schäden bei Eindringen zu minimieren.
Es ist auch wichtig, bestehende Ströme und Aktivitätsprotokolle zu überprüfen, um verdächtige Veränderungen oder neu geschaffene öffentliche Endpunkte zu erkennen. In Systemen, die möglicherweise beeinträchtigt worden sind, müssen die in der betroffenen Umgebung verfügbaren Anmeldeinformationen und Schlüssel gedreht und der Zugriff überprüft werden. Unternehmen, die von kritischen Integrationen und Automatisierungen abhängig sind, sollten diese Überprüfung und die Parkkampagne priorisieren.
Die Kette der Entdeckung dieser Schwachstelle umfasste Beiträge von mehreren Sicherheitsteams und Analysten, darunter Fatih Çelik, Cris Staicu de Endor Labs, Eilon Cohen de Pillar Security und Sandeep Kamble de SequreLayer7; N8n-Betreuer haben sie öffentlich für ihre Berichte anerkannt.
Diese Episode zeigt eine klassische, aber oft ignorierte Lektion: statische Überprüfungen des Typs ersetzen nicht robuste Validierungen in der Laufzeit beim Umgang mit unzuverlässigen Eingaben. Organisationen wie OWASP bestehen auf der Notwendigkeit mehrerer Verteidigungsschichten und der strengen Validierung von Inputs seit Jahren; allgemeine Dokumentation über Validierungs- und Einreisekontrollrisiken können in Ressourcen wie OWASP. Um besser zu verstehen, warum TypeScript diese Art von Exploits nicht vermeidet, bietet der eigene Leitfaden des TypScript-Projekts Kontext, wie Ihr Typ-System in der Compilationszeit wirkt, aber nicht im letzten Paket anhält: TypScript-Dokumentation.
Kurz gesagt, wenn Sie n8n in der Produktion verwenden: erstens, aktualisieren Sie die parcheed Versionen so schnell wie möglich. Dann überprüft es Berechtigungen und Belichtung von Webhooks, härtet die Implementierungsumgebung und führt eine Prüfung von möglichen Verpflichtungsindikatoren. Wenn Sie mehr technische Informationen benötigen, sind die Analyse von Forschern und die Mitteilung von n8n nützliche öffentliche Ressourcen, um den Umfang und die Betriebsmittel zu verstehen: GitHubs Mitteilung, Deep-dive de Fatih Çelik und den Berichten der Endor Labs, Sicherheit und Sicherheit und Sicherheit der Pillen.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
Mini Shai-Hulud: der Angriff, der die Abhängigkeiten in Massenintrusionsvektoren verwandelte
Zusammenfassung des Vorfalls: GitHub untersucht unbefugten Zugriff auf interne Repositories, nachdem der als TeamPCP bekannte Schauspieler den angeblichen Quellcode und interne ...
Sicherheitsalert: CVE-2026-45829 stellt Chroma DB zur Remote-Code-Ausführung ohne Authentifizierung
Ein kritischer Fehler in der ChromaDB Python API - die beliebte Vektorbasis, die für die Wiederherstellung während der LLM-Inferenz verwendet wird - erlaubt nicht authentifizier...
Fox Temper präsentiert die Fragilität der digitalen Signatur in der Cloud
Microsofts Offenlegung der Operation von "Malware-signing-as-a-Service" bekannt als Fox Temper ersetzt im Zentrum die kritische Schwachstelle des modernen Software-Ökosystems: Z...
Trapdoor: der Maldumping-Betrieb, der Android-Apps in eine automatische illegale Einkommensfabrik verwandelte
Cybersecurity-Forscher haben eine Operation von Maldumping und mobile Werbebetrug als benannt entdeckt Traptüre, die legitime Android-Anwendungseinrichtungen in eine automatisch...