Kwetsbaar AI-automationplatform n8n: instances volledig over te nemen

In dit artikel:

Twee kritieke kwetsbaarheden in het workflow-automatiseringsplatform n8n stellen aanvallers in staat volledige controle over een instance te krijgen, gevoelige gegevens te lezen en eigen code op het onderliggende systeem uit te voeren. De lekken (CVE-2026-1470 en CVE-2026-0863) zijn ontdekt door JFrog; CVE-2026-1470 kreeg een CVSS-score van 9,9 vanwege de mogelijkheid tot volledige Remote Code Execution op de hoofdnode.

n8n, een veelgebruikt open source-platform met een fair code-licentie en meer dan 200.000 wekelijkse npm-downloads, koppelt applicaties, API’s en services en ondersteunt ook AI/LLM-integraties. Technisch betreffen de fouten AST-sandbox-escapes: bij JavaScript kan misbruik van het with-statement en een constructor-identifier leiden naar Function en arbitraire JS-uitvoering; bij Python combineert een format-string-introspectie met Python 3.10+-gedrag rond AttributeError.obj om toegang tot beperkt gehouden builtins en imports te krijgen. JFrog wijst erop dat dit illustreert hoe lastig het is dynamische talen veilig te sandboxen.

Exploiteren vereist wel gebruikersauthenticatie om workflows te maken of te wijzigen, maar niet-beheerders kunnen in veel implementaties al genoeg rechten hebben, waardoor de kwetsbaarheden kritiek blijven. Oplossingen zijn beschikbaar: gepatchte n8n-releases (o.a. 1.123.17, 2.4.5, 2.5.1 voor CVE-2026-1470; 1.123.14, 2.3.5, 2.4.2 voor CVE-2026-0863). Het cloudplatform van n8n is al gevrijwaard; alleen self-hosted installaties met kwetsbare versies lopen risico. Raadzaam is direct updaten en toegang tot self-hosted instances beperken.