CRITICALCVE-2026-27495CVSS 9.5

n8n heeft een Sandbox Escape in zijn JavaScript Task Runner

Q: What is CVE-2026-27495 — RCE in n8n?

CVE-2026-27495 is a critical Remote Code Execution vulnerability in n8n, allowing authenticated users to execute arbitrary code through the JavaScript Task Runner sandbox.

Q: Am I affected by CVE-2026-27495 in n8n?

You are affected if you are running n8n versions prior to 1.123.22 and have Task Runners enabled (default).

Q: How do I fix CVE-2026-27495 in n8n?

Upgrade n8n to version 1.123.22 or later. As a temporary workaround, disable Task Runners by setting `N8N_RUNNERS_ENABLED=false`.

Q: Is CVE-2026-27495 being actively exploited?

While no public exploits are currently known, the vulnerability's ease of exploitation makes it a high-priority concern.

Q: Where can I find the official n8n advisory for CVE-2026-27495?

Refer to the official n8n security advisory on their website or GitHub repository for the latest information.

Platform

nodejs

Component

n8n

Opgelost in

1.123.23

2.0.1

2.10.1

1.123.22

AI Confidence: highNVDEPSS 0.1%Beoordeeld: mei 2026

Bekijk op NVD

Opslaan

CVE-2026-27495 is een Remote Code Execution (RCE) kwetsbaarheid in n8n, een workflow automatiseringsplatform. Een geauthenticeerde gebruiker met de juiste permissies kan een JavaScript Task Runner sandbox misbruiken om willekeurige code uit te voeren. Deze kwetsbaarheid treedt op in n8n versies vóór 2.10.1, 2.9.3 en 1.123.22 en is verholpen in deze versies.

Impact en Aanvalsscenarios

De impact van deze kwetsbaarheid is significant. Een succesvolle exploit kan leiden tot volledige compromittering van de n8n host, vooral wanneer interne Task Runners worden gebruikt (de standaardinstelling). De aanvaller kan dan toegang krijgen tot gevoelige data, configuratiebestanden manipuleren, of zelfs de host gebruiken voor verdere aanvallen op het interne netwerk. In omgevingen met externe Task Runners kan de aanvaller de uitvoering van andere taken beïnvloeden of toegang krijgen tot resources die door die taken worden gebruikt. Het misbruiken van deze kwetsbaarheid vereist dat Task Runners zijn ingeschakeld via de omgevingsvariabele N8NRUNNERSENABLED=true.

Uitbuitingscontext

Op dit moment is er geen publieke proof-of-concept (POC) beschikbaar, maar de ernst van de kwetsbaarheid (CVSS 9.5) en de mogelijkheid tot volledige hostcompromittering suggereren een potentieel hoog risico. De kwetsbaarheid is openbaar gemaakt op 2026-02-25. Er is geen informatie beschikbaar over actieve campagnes of toevoeging aan de CISA KEV catalogus.

Wie Loopt Risicowordt vertaald…

Organizations heavily reliant on n8n for workflow automation, particularly those using the default internal Task Runner configuration, are at significant risk. Environments where user access controls are not strictly enforced, allowing unauthorized users to create or modify workflows, are especially vulnerable.

Detectiestappenwordt vertaald…

• nodejs / server:

ps aux | grep n8n

Check for unusual processes running within the n8n environment. • nodejs / server:

journalctl -u n8n -f | grep -i error

Monitor n8n logs for error messages or suspicious activity related to task execution. • generic web:

curl -I http://<n8n_host>/ | grep -i 'n8n/1.123.22'

Verify the n8n version is patched (1.123.22 or later).

Aanvalstijdlijn

2026-02-25Disclosure
disclosure

Dreigingsinformatie

Exploit Status

Proof of ConceptOnbekend

CISA KEVNO

Rapporten7 dreigingsrapporten

EPSS

0.08% (23% percentiel)

CISA SSVC

Exploitatienone

Automatiseerbaarno

Technische Impacttotal

Getroffen Software

Componentn8n

Leverancierosv

Getroffen bereikOpgelost in

< 1.123.22 – < 1.123.221.123.23

>= 2.0.0, < 2.9.3 – >= 2.0.0, < 2.9.32.0.1

>= 2.10.0, < 2.10.1 – >= 2.10.0, < 2.10.12.10.1

—1.123.22

Zwakheidsclassificatie (CWE)

CWE-94

Tijdlijn

Gereserveerd2026-02-19
Gepubliceerd2026-02-25
Gewijzigd2026-02-28
EPSS bijgewerkt2026-03-23

Mitigatie en Workarounds

De primaire mitigatie is het upgraden van n8n naar versie 2.10.1, 2.9.3 of 1.123.22 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan het uitschakelen van Task Runners door de omgevingsvariabele N8NRUNNERSENABLED op false te zetten. Als dit niet mogelijk is, beperk dan de permissies van gebruikers die workflows kunnen maken of wijzigen, zodat ze geen toegang hebben tot de Task Runner sandbox. Monitor n8n logs op verdachte activiteiten, zoals onverwachte procescreaties of netwerkverbindingen. Er zijn momenteel geen specifieke Sigma of YARA patronen beschikbaar, maar het monitoren van procescreaties en netwerkactiviteit is essentieel. Na de upgrade, controleer de n8n logs op eventuele foutmeldingen of ongebruikelijke activiteit.

Hoe te verhelpen

Actualiseer n8n naar versie 2.10.1, 2.9.3 of 1.123.22, of later. Als een upgrade niet onmiddellijk mogelijk is, beperk dan de rechten voor het maken en bewerken van workflows tot vertrouwde gebruikers, en/of gebruik de externe runner-modus (`N8N_RUNNERS_MODE=external`) om de blast radius te beperken. Houd er rekening mee dat deze workarounds het risico niet volledig mitigeren en alleen als kortetermijnmitigatiemaatregelen mogen worden gebruikt.

CVE Beveiligingsnieuwsbrief

Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.

Veelgestelde vragenwordt vertaald…

What is CVE-2026-27495 — RCE in n8n?