-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512 ##################################################### ## N C S C ~ B E V E I L I G I N G S A D V I E S ## ##################################################### Titel : Kwetsbaarheden verholpen in n8n workflow automation platform Advisory ID : NCSC-2026-0248 Versie : 1.00 Kans : medium CVE ID : CVE-2026-27493, CVE-2026-27494, CVE-2026-27495, CVE-2026-27497, CVE-2026-27498, CVE-2026-27577, CVE-2026-27578, CVE-2026-56349, CVE-2026-56350, CVE-2026-56353, CVE-2026-56357, CVE-2026-56360 (Details over de kwetsbaarheden kunt u vinden op de Mitre website: https://cve.mitre.org/cve/) Schade : high Improper Input Validation Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') Improper Neutralization of Script-Related HTML Tags in a Web Page (Basic XSS) Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') Improper Control of Generation of Code ('Code Injection') Improper Neutralization of Directives in Dynamically Evaluated Code ('Eval Injection') Improper Privilege Management Improper Access Control Improper Authorization Improper Authentication Authentication Bypass by Spoofing Insufficient Verification of Data Authenticity Exposure of Sensitive System Information to an Unauthorized Control Sphere Protection Mechanism Failure Improper Control of Dynamically-Managed Code Resources OWASP Top Ten 2013 Category A9 - Using Components with Known Vulnerabilities OWASP Top Ten 2017 Category A9 - Using Components with Known Vulnerabilities Uitgiftedatum : 20260717 Toepassing : n8n n8n Versie(s) : Platform(s) : Beschrijving n8n heeft meerdere kwetsbaarheden verholpen in het n8n workflow automation platform, specifiek in versies voor 2.10.1, 2.9.3, 1.123.22 en andere gerelateerde releases. De kwetsbaarheden betreffen verschillende componenten binnen n8n, waaronder de Form nodes, Python Code node, JavaScript Task Runner sandbox, Merge node, Read/Write Files from Disk node, workflow expression evaluatie, core workflow editing functionaliteit, GitHub Webhook Trigger node, ZendeskTrigger node, Guardrail node en Chat Trigger node. - Ongeauthenticeerde en geauthenticeerde gebruikers kunnen onder bepaalde voorwaarden arbitrary code injecteren en uitvoeren, soms via sandbox escapes, wat leidt tot remote code execution op het host- systeem. - Kwetsbaarheden in nodes zoals Merge node en Read/Write Files from Disk node stellen geauthenticeerde gebruikers met workflow bewerkingsrechten in staat om bestanden te schrijven en shell- commando's uit te voeren. - Webhook nodes (GitHub en ZendeskTrigger) missen HMAC-SHA256 handtekening verificatie, waardoor onbevoegde POST-requests kunnen worden verzonden die workflows triggeren. - Authenticatie bypass kwetsbaarheden in SSO en Chat Trigger nodes maken het mogelijk om beveiligingsmechanismen te omzeilen en ongeautoriseerde toegang te verkrijgen. - Input validatie in de Guardrail node kan worden omzeild, wat de integriteit van workflows kan aantasten. Deze kwetsbaarheden zijn aanwezig in meerdere versies en releases van n8n en zijn gerelateerd aan workflow creatie, modificatie en uitvoering, waarbij misbruik kan leiden tot het overnemen van het host-systeem, het manipuleren van workflows en het omzeilen van authenticatiecontroles. Mogelijke oplossingen n8n heeft updates uitgebracht in versies 2.10.1, 2.9.3, 1.123.22, 2.8.0, 1.123.15, 2.5.0, 1.123.18, 2.6.2 en 2.10.0 om de genoemde kwetsbaarheden te verhelpen. Voor omgevingen waar directe upgrade niet mogelijk is, zijn tijdelijke mitigaties beschikbaar, zoals het beperken van gebruikersrechten en het uitschakelen van bepaalde nodes. Zie bijgevoegde referenties voor meer informatie. Referenties: Reference https://github.com/n8n-io/n8n/security/advisories/GHSA-2p9h-rqjw- gm92 Reference https://github.com/n8n-io/n8n/security/advisories/GHSA-38c7-23hj- 2wgq Reference https://github.com/n8n-io/n8n/security/advisories/GHSA-75g8-rv7v- 32f7 Reference https://github.com/n8n-io/n8n/security/advisories/GHSA-f3f2-mcxc- pwjx Reference https://github.com/n8n-io/n8n/security/advisories/GHSA-fvfv- ppw4-7h2w Reference https://github.com/n8n-io/n8n/security/advisories/GHSA- jh8h-6c9q-7gmw Reference https://github.com/n8n-io/n8n/security/advisories/GHSA-jjpj-p2wh- qf23 Reference https://github.com/n8n-io/n8n/security/advisories/GHSA- mmgg-m5j7-f83h Reference https://github.com/n8n-io/n8n/security/advisories/GHSA- mqpr-49jj-32rc Reference https://github.com/n8n-io/n8n/security/advisories/GHSA-v98v-ff95- f3cp Reference https://github.com/n8n-io/n8n/security/advisories/GHSA- vjf3-2gpj-233v Reference https://github.com/n8n-io/n8n/security/advisories/GHSA-vpcf- gvg4-6qwr Reference https://github.com/n8n-io/n8n/security/advisories/GHSA- wxx7-mcgf-j869 Reference https://github.com/n8n-io/n8n/security/advisories/GHSA-x2mw-7j39- 93xq Vrijwaringsverklaring Door gebruik van deze security advisory gaat u akkoord met de navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke zorg heeft betracht bij de samenstelling van dit beveiligingsadvies, kan het NCSC niet instaan voor de volledigheid, juistheid of (voortdurende) actualiteit van dit beveiligingsadvies. De informatie in dit beveiligingsadvies is uitsluitend bedoeld als algemene informatie voor professionele partijen. Aan de informatie in dit beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC en de Staat zijn niet aansprakelijk voor enige schade ten gevolge van het gebruik of de onmogelijkheid van het gebruik van dit beveiligingsadvies, waaronder begrepen schade ten gevolge van de onjuistheid of onvolledigheid van de informatie in dit beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht van toepassing. Alle geschillen in verband met en/of voortvloeiend uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de voorzieningenrechter in kort geding. -----BEGIN PGP SIGNATURE----- iQGzBAEBCgAdFiEEGSwziqblmmRNtImqgupWoL0ZhGEFAmpaPegACgkQgupWoL0Z hGHCsgv/dLlAKuGHcL48iQFyrKEXSMaOlpC0czon3FhUJgeUBEwBOct0jFU0Nxqs a5sdihTPsuB4GOp5eZibFnDBDrvQtdv1cnaQRQIbLJeYPnvsUC4s2XLFoQ3FNerw yUB6sN/wumdsXFhQfs3q9EPFWVR7Dfl6yIJFODaaJutJALtohS2qijZPwTnxVeuJ VEu3384NHVG3oIY7LaBRfMSsbyAT7Vx/4SJUch7KLwbxlPdzvDsWr0+e0zdgoJDb AdeUhQWa7kxDKiwFYkOTb/zHf+ZykgT682x0CaaOZkl40c9PCie0NFg50HZTpzqB w3PhPXp94kCB8cdmQc4B8tLRkxX2KulBsVKynELzuFgH+YYIkrAFm97OOlglXDSI LLFTkzSRvJxqlGDv+RQiE0fQodHSb4DGn5Tvf0Vb7u/7wNudTfwM7orXmbJ5vmr7 AQ7Ll//oPGYCxARAk8UFLIi0CDWfPH+UPdUq5z8yVxk27/0ft7Ot2zdqEmL6soGP F4UaOkSF =wgec -----END PGP SIGNATURE-----