Platform
nodejs
Component
n8n
Opgelost in
1.123.23
2.0.1
2.10.1
1.123.22
CVE-2026-27493 beschrijft een second-order expression injection kwetsbaarheid in n8n's Form nodes. Deze kwetsbaarheid stelt een ongeauthenticeerde aanvaller in staat om willekeurige n8n expressies te injecteren en te evalueren door middel van speciaal opgemaakte form data. Bij succesvolle chaining met een expression sandbox escape kan dit leiden tot remote code execution op de n8n host. De kwetsbaarheid treft versies van n8n die eerder zijn dan 1.123.22, en een update naar deze versie is vereist om de kwetsbaarheid te verhelpen.
De impact van CVE-2026-27493 is significant. Een succesvolle exploitatie kan leiden tot remote code execution (RCE) op de n8n server. Dit betekent dat een aanvaller volledige controle kan krijgen over het systeem, inclusief toegang tot gevoelige data, het installeren van malware en het uitvoeren van andere schadelijke acties. De kwetsbaarheid vereist een specifieke workflow configuratie: een form node met een veld dat een waarde van een ongeauthenticeerde gebruiker (bijvoorbeeld een ingediende formulierwaarde) interpoleert, en het veld moet beginnen met een = teken. Dit maakt het mogelijk voor de aanvaller om expressies te injecteren die vervolgens door n8n worden geëvalueerd. De mogelijkheid om de expression sandbox te omzeilen verhoogt de ernst van de kwetsbaarheid aanzienlijk.
CVE-2026-27493 werd publiekelijk bekendgemaakt op 2026-02-25. Er zijn momenteel geen publieke proof-of-concept exploits beschikbaar, maar de complexiteit van de exploitatie maakt het potentieel voor misbruik aanzienlijk. De kwetsbaarheid is niet opgenomen in de CISA KEV catalogus op het moment van schrijven. De combinatie van een hoge CVSS score en de mogelijkheid tot RCE vereist een proactieve aanpak om de kwetsbaarheid te mitigeren.
Organizations heavily reliant on n8n for workflow automation, particularly those with publicly accessible forms or integrations that accept user-provided input, are at significant risk. Environments with legacy n8n configurations or those lacking robust input validation practices are especially vulnerable. Shared hosting environments where multiple users share the same n8n instance also face increased risk due to the potential for cross-tenant exploitation.
• nodejs / server: Monitor n8n logs for unusual expression execution patterns or errors related to expression parsing. Use journalctl -u n8n to filter for relevant log entries.
• nodejs / server: Check for unexpected processes running under the n8n user account using ps aux | grep n8n.
• generic web: Inspect n8n access logs for suspicious requests containing = characters in form parameters, particularly those targeting form submission endpoints. Use curl -v <n8nformendpoint> to test for injection.
• generic web: Review n8n configuration files for any insecure expression handling practices.
disclosure
Exploit Status
EPSS
0.23% (46% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-27493 is het updaten van n8n naar versie 1.123.22 of hoger. Indien een directe upgrade niet mogelijk is, kan een tijdelijke workaround bestaan uit het valideren en saniteren van alle gebruikersinvoer in form nodes om te voorkomen dat expressies met een = teken worden ingediend. Het beperken van de rechten van de n8n-gebruiker kan de impact van een succesvolle exploitatie verminderen. Monitor n8n logs op verdachte expressies of onverwachte uitvoeringen. Er zijn geen specifieke Sigma of YARA patronen bekend voor deze kwetsbaarheid, maar het monitoren van expressie-evaluatie in n8n workflows is aan te raden.
Werk n8n bij naar versie 2.10.1, 2.9.3, 1.123.22 of hoger. Indien een update niet direct mogelijk is, controleer dan handmatig het gebruik van form nodes voor de eerder genoemde voorwaarden, schakel de form node uit door `n8n-nodes-base.form` toe te voegen aan de omgevingsvariabele `NODES_EXCLUDE` en/of schakel de Form Trigger node uit door `n8n-nodes-base.formTrigger` toe te voegen aan de omgevingsvariabele `NODES_EXCLUDE`.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-27493 is a critical remote code execution vulnerability in n8n, allowing attackers to inject and execute arbitrary expressions through crafted form submissions.
You are affected if you are running n8n versions prior to 1.123.22 and have workflows configured with form nodes that interpolate user-provided input.
Upgrade to n8n version 1.123.22 or later. Review and secure workflows using user-provided input as a temporary workaround.
As of now, there are no confirmed reports of active exploitation, but the high CVSS score indicates a potential risk.
Refer to the official n8n security advisory on their website or GitHub repository for detailed information and updates.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.