Platform
nodejs
Component
n8n
Opgelost in
1.123.23
2.0.1
2.10.1
1.123.22
CVE-2026-27497 is een kritieke Remote Code Execution (RCE) kwetsbaarheid in n8n, een workflow automation platform. Een geauthenticeerde gebruiker met de rechten om workflows te maken of te wijzigen, kan de SQL-query modus van de Merge node misbruiken om willekeurige code uit te voeren en bestanden op de n8n server te schrijven. Deze kwetsbaarheid treft n8n versies vóór 2.10.1, 2.9.3 en 1.123.22. Een patch is beschikbaar in de genoemde versies.
Deze kwetsbaarheid stelt een aanvaller in staat om, na authenticatie en met de juiste workflow-rechten, willekeurige code uit te voeren op de n8n server. Dit kan leiden tot volledige controle over de server, inclusief het lezen, wijzigen en verwijderen van gevoelige data. De impact is aanzienlijk, aangezien een succesvolle exploit de integriteit en vertrouwelijkheid van de gehele n8n-omgeving in gevaar kan brengen. Een aanvaller kan bijvoorbeeld configuratiebestanden wijzigen, malware installeren of gevoelige data exfiltreren. De blast radius is afhankelijk van de privileges van de gebruiker die de workflow kan aanpassen, maar kan potentieel de gehele serveromgeving omvatten.
Deze kwetsbaarheid is openbaar bekend en de details zijn beschikbaar. Er is geen informatie over actieve campagnes of KEV-listing op het moment van publicatie. Het is aannemelijk dat er public proof-of-concepts (POCs) beschikbaar komen, waardoor de exploitatiekans toeneemt. De publicatie datum is 2026-02-25.
Organizations heavily reliant on n8n for workflow automation, particularly those with less stringent access controls, are at significant risk. Shared hosting environments where multiple users have access to n8n instances are also particularly vulnerable. Legacy n8n deployments running older, unpatched versions are the most exposed.
• nodejs / server:
ps aux | grep n8n• nodejs / server:
journalctl -u n8n -f | grep "SQL query"• generic web:
curl -I http://your-n8n-instance/ | grep -i serverdisclosure
Exploit Status
EPSS
0.07% (20% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden naar n8n versie 2.10.1, 2.9.3 of 1.123.22 of hoger. Indien een upgrade niet direct mogelijk is, kunnen tijdelijke maatregelen genomen worden. Beperk workflow creatie- en bewerkingsrechten tot volledig vertrouwde gebruikers. Schakel de Merge node SQL-query modus uit indien deze niet essentieel is. Implementeer een Web Application Firewall (WAF) om verdachte SQL-query's te blokkeren. Controleer de n8n server logs op ongebruikelijke SQL-query's of pogingen tot code-uitvoering. Na de upgrade, controleer de n8n server logs op eventuele sporen van pogingen tot exploitatie.
Actualiseer n8n naar versie 2.10.1, 2.9.3 of 1.123.22, of later. Als actualiseren niet onmiddellijk mogelijk is, beperk dan de rechten voor het maken en bewerken van workflows tot vertrouwde gebruikers of schakel de Merge node uit door `n8n-nodes-base.merge` aan de omgevingsvariabele `NODES_EXCLUDE` toe te voegen. Houd er rekening mee dat deze workarounds het risico niet volledig mitigeren en alleen als kortetermijnmaatregelen mogen worden gebruikt.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-27497 is een kritieke Remote Code Execution kwetsbaarheid in n8n, waardoor geauthenticeerde gebruikers code kunnen uitvoeren op de server via de Merge node.
Ja, als u n8n gebruikt in versie 2.10.1, 2.9.3 of 1.123.22 of lager, bent u getroffen door deze kwetsbaarheid.
Upgrade naar n8n versie 2.10.1, 2.9.3 of 1.123.22 of hoger. Indien een upgrade niet direct mogelijk is, beperk dan workflow rechten en schakel de Merge node SQL-query modus uit.
Op dit moment is er geen bevestigde informatie over actieve exploitatie, maar de kwetsbaarheid is openbaar bekend en POCs kunnen verschijnen.
Raadpleeg de n8n security advisories op de officiële n8n website voor de meest actuele informatie.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.