Platform
nodejs
Component
n8n
Opgelost in
1.123.13
2.4.1
2.4.0
CVE-2026-25055 beschrijft een Arbitrary File Access kwetsbaarheid in n8n, een workflow automation tool. Deze kwetsbaarheid kan leiden tot onbedoelde bestandsschrijving op externe systemen, wat mogelijk tot remote code execution kan leiden. De kwetsbaarheid treedt op wanneer workflows geüploade bestanden verwerken en deze overdragen naar externe servers via de SSH node zonder de metadata te valideren. Gebruikers worden aangeraden te upgraden naar versie 2.4.0 of 1.123.12 om de kwetsbaarheid te verhelpen.
Een ongeauthenticeerde aanvaller die kennis heeft van bestaande workflows en toegang heeft tot onbeveiligde upload endpoints, kan deze kwetsbaarheid misbruiken. De aanvaller kan bestanden naar onbedoelde locaties op externe systemen schrijven, waardoor potentieel remote code execution mogelijk wordt. Dit kan leiden tot compromittering van de externe systemen, datalekken en verstoring van de dienstverlening. De ernst van de impact hangt af van de gevoeligheid van de data die op de externe systemen wordt opgeslagen en de privileges van de gebruiker die de workflows uitvoert.
Deze kwetsbaarheid is openbaar gemaakt op 2026-02-04. Er is momenteel geen publieke proof-of-concept beschikbaar, maar de complexiteit van de exploitatie is relatief laag, wat een medium risico op actieve exploitatie impliceert. De kwetsbaarheid is niet opgenomen in de CISA KEV catalogus op het moment van schrijven.
Organizations utilizing n8n for workflow automation, particularly those involving file transfers to remote servers via the SSH node, are at risk. This includes businesses using n8n for data integration, cloud deployments, and automation pipelines. Specifically, those with legacy n8n installations or those who have not implemented robust access controls on their remote servers are at higher risk.
• nodejs / server: Monitor n8n logs for unusual file creation events or errors related to the SSH node. Use lsof or ss to identify processes accessing remote servers via SSH.
lsof -i :25 | grep n8n• generic web: Check n8n configuration files for insecure file transfer settings. Review access logs for suspicious file upload requests.
grep -i "ssh" /etc/n8n/config.yamldisclosure
Exploit Status
EPSS
0.12% (31% percentiel)
CISA SSVC
De primaire mitigatie is het upgraden van n8n naar versie 2.4.0 of 1.123.12. Indien een upgrade momenteel niet mogelijk is, kan het beperken van de toegang tot de upload endpoints een tijdelijke workaround zijn. Controleer de configuratie van de SSH node om er zeker van te zijn dat metadata van geüploade bestanden correct wordt gevalideerd. Implementeer een Web Application Firewall (WAF) om verdachte verzoeken te blokkeren. Na de upgrade, verifieer de fix door een testworkflow te creëren die een bestand uploadt en controleert of het bestand naar de verwachte locatie wordt geschreven.
Actualice n8n a la versión 1.123.12 o superior, o a la versión 2.4.0 o superior. Esto corrige la vulnerabilidad de escritura arbitraria de archivos a través del nodo SSH. Asegúrese de validar la metadata de los archivos subidos antes de transferirlos a servidores remotos.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-25055 is a HIGH severity vulnerability in n8n allowing unauthenticated attackers to write files to unintended locations on remote servers, potentially leading to remote code execution. It affects versions before 2.4.0 and 1.123.12.
You are affected if you are using n8n versions prior to 2.4.0 or 1.123.12 and have workflows that process uploaded files and transfer them to remote servers via the SSH node.
Upgrade n8n to version 2.4.0 or 1.123.12 or later. As a temporary workaround, disable the SSH node in your workflows.
There is currently no public evidence of CVE-2026-25055 being actively exploited.
Refer to the official n8n security advisory for CVE-2026-25055 on the n8n website or GitHub repository.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.