Kritieke n8n-kwetsbaarheid (CVSS 10.0) zorgt ervoor dat niet-geverifieerde aanvallers de volledige controle overnemen

Cyberbeveiliging
Kritieke n8n-kwetsbaarheid (CVSS 10.0) zorgt ervoor dat niet-geverifieerde aanvallers de volledige controle overnemen

Cybersecurity-onderzoekers hebben details onthuld van nog een zeer ernstig beveiligingslek in n8n, een populair workflowautomatiseringsplatform, waarmee een niet-geverifieerde externe aanvaller volledige controle kan krijgen over gevoelige instanties.

De kwetsbaarheid, bijgehouden als CVE-2026-21858 (CVSS-score: 10,0), heeft de codenaam Ni8mare door Cyera Research Labs. Beveiligingsonderzoeker Dor Attias is erkend voor het ontdekken en rapporteren van de fout op 9 november 2025.

“Een kwetsbaarheid in n8n geeft een aanvaller toegang tot bestanden op de onderliggende server via het uitvoeren van bepaalde op formulieren gebaseerde workflows”, aldus n8n in een vandaag gepubliceerd advies. “Een kwetsbare workflow kan toegang verlenen aan een niet-geverifieerde externe aanvaller. Dit kan resulteren in het blootleggen van gevoelige informatie die op het systeem is opgeslagen en kan verdere compromittering mogelijk maken, afhankelijk van de implementatieconfiguratie en het workflowgebruik.”

Met de nieuwste ontwikkeling heeft n8n de afgelopen twee weken vier kritieke kwetsbaarheden onthuld:

  • CVE-2025-68613 (CVSS-score: 9,9) – Een onjuiste controle van dynamisch beheerde codebronnen waardoor geverifieerde aanvallers onder bepaalde omstandigheden externe code-uitvoering (RCE) kunnen uitvoeren (opgelost in versies 1.120.4, 1.121.1 en 1.122.0)
  • CVE-2025-68668 of N8scape (CVSS-score: 9,9) – Een kwetsbaarheid om de sandbox te omzeilen waardoor een geverifieerde gebruiker met toestemming workflows kan maken of wijzigen om willekeurige opdrachten uit te voeren op het hostsysteem waarop n8n draait (opgelost in versie 2.0.0)
  • CVE-2026-21877 (CVSS-score: 10,0) – Een onbeperkte upload van een bestand met een gevaarlijke kwetsbaarheid waardoor een geverifieerde aanvaller niet-vertrouwde code kan uitvoeren via de n8n-service, wat leidt tot volledige inbreuk op de instantie (opgelost in versie 1.121.3)

In tegenstelling tot deze fouten heeft CVE-2026-21858 echter geen inloggegevens nodig en profiteert het van een “Content-Type”-verwarringsfout om gevoelige geheimen te extraheren, beheerderstoegang te vervalsen en zelfs willekeurige opdrachten op de server uit te voeren.

De kwetsbaarheid treft alle versies van n8n vóór en inclusief 1.65.0. Het is verholpen in versie 1.121.0, uitgebracht op 18 november 2025. Het is vermeldenswaard dat de nieuwste versies van de bibliotheek 1.123.10, 2.1.5, 2.2.4 en 2.3.0 zijn.

Volgens technische details die Cyera met The Hacker News heeft gedeeld, ligt de kern van het probleem in de n8n-webhook en het bestandsverwerkingsmechanisme. Webhooks, die cruciaal zijn om gegevens van apps en services te ontvangen wanneer bepaalde gebeurtenissen plaatsvinden, worden geactiveerd nadat het binnenkomende verzoek is geparseerd met behulp van een functie met de naam ‘parseRequestBody()’.

De functie is specifiek ontworpen om de header “Content-Type” in het verzoek te lezen en een andere functie aan te roepen om de hoofdtekst van het verzoek te parseren:

  • Gebruik parseFormData(), ook wel ‘file upload parser’ genoemd, als de header ‘Content-Type’ ‘multipart/form-data’ is, waarmee formuliergegevens worden aangegeven
  • Gebruik parseBody(), ook wel ‘regular body parser’ genoemd, voor alle andere inhoudstypen

De bestandsuploadparser gebruikt op zijn beurt de functie parse() die is gekoppeld aan formidable, een Node.js-module voor het parseren van formuliergegevens, en slaat het gedecodeerde resultaat op in een globale variabele genaamd “req.body.files.” Deze ingevulde gegevens worden verwerkt door de webhook, die alleen wordt uitgevoerd als de header ‘Content-Type’ is ingesteld op ‘multipart/form-data’.

Daarentegen verwerkt de reguliere body-parser de inkomende HTTP-aanvraagbody en slaat de geëxtraheerde gegevens op in een andere globale variabele die bekend staat als ‘req.body’.

CVE-2026-21858 treedt op wanneer een bestandsverwerkingsfunctie wordt uitgevoerd zonder eerst te verifiëren dat het inhoudstype ‘multipart/form-data’ is, waardoor een aanvaller mogelijk req.body.files kan overschrijven. Cyera zei dat het zo’n kwetsbare stroom heeft gevonden in de functie die formulierinzendingen afhandelt (“formWebhook()”), die een bestandsverwerkingsfunctie (“copyBinaryFile()”) aanroept om op “req.body.files” te reageren.

“Dit is het probleem: aangezien deze functie wordt aangeroepen zonder te verifiëren dat het inhoudstype ‘multipart/form-data’ is, controleren we het volledige object req.body.files, ‘zei Attias. “Dat betekent dat we de bestandspadparameter controleren, dus in plaats van een geüpload bestand te kopiëren, kunnen we elk lokaal bestand van het systeem kopiëren.”

“Het resultaat? Elk knooppunt na het formulierknooppunt ontvangt de inhoud van het lokale bestand in plaats van wat de gebruiker heeft geüpload.”

Wat betreft de manier waarop de aanval kan plaatsvinden, kunt u een website overwegen die een chatinterface heeft om informatie te verstrekken over verschillende producten op basis van productspecificatiebestanden die zijn geüpload naar de kennisbank van de organisatie met behulp van een formulierworkflow. Met deze opzet kan een slechte actor het beveiligingslek misbruiken om willekeurige bestanden van de n8n-instantie te lezen en deze verder naar RCE te escaleren door de volgende stappen uit te voeren:

  • Gebruik de willekeurige leesprimitief om toegang te krijgen tot de database op “/home/node/.n8n/database.sqlite” en laad deze in de kennisbank
  • Extraheer de gebruikers-ID, het e-mailadres en het gehashte wachtwoord van de beheerder via de chatinterface
  • Gebruik de willekeurige leesprimitief opnieuw om een ​​configuratiebestand te laden dat zich bevindt op “/home/node/.n8n/config” en extraheer de geheime codesleutel
  • Gebruik de verkregen gebruikers- en sleutelinformatie om een ​​nepsessiecookie te vervalsen en beheerderstoegang te verkrijgen, wat leidt tot een authenticatieomzeiling
  • Bereik RCE door een nieuwe workflow te creëren met een “Execute Command”-knooppunt

“De ontploffingsradius van een gecompromitteerde n8n is enorm”, zei Cyera. “Een gecompromitteerde n8n-instantie betekent niet alleen het verlies van één systeem; het betekent dat aanvallers de sleutels van alles moeten overhandigen. API-referenties, OAuth-tokens, databaseverbindingen, cloudopslag – allemaal gecentraliseerd op één plek. n8n wordt een single point of fail en een goudmijn voor bedreigingsactoren.”

In het licht van de ernst van de fout wordt gebruikers geadviseerd zo snel mogelijk te upgraden naar de gepatchte versie of later voor optimale bescherming, te voorkomen dat n8n wordt blootgesteld aan internet en authenticatie voor alle formulieren af ​​te dwingen. Als tijdelijke oplossing wordt geadviseerd om openbaar toegankelijke webhook- en formuliereindpunten te beperken of uit te schakelen.

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Pixel-gebruikers moeten langer wachten op bugfixes ondanks nieuwe Android-beveiligingspatch

De nieuwe miljardairbelasting in Californië kost de staat Larry Page alleen maar omzet

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]