Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in n8n, zo waarschuwt het cyberagentschap van de Amerikaanse overheid. Het beveiligingslek, waarvan de impact op een schaal van 1 tot en met 10 beoordeeld is met een 10.0, maakt remote code execution (RCE) mogelijk. N8n is een tool voor het automatiseren van workflows en maakt het mogelijk om taken te automatiseren en data tussen allerlei apps, tools, platforms en services uit te wisselen.

Een kwetsbaarheid (CVE-2025-68613) in het 'workflow expression evaluation system' van n8n maakt 'expression injection' mogelijk. Een geauthenticeerde aanvaller kan op deze manier willekeurige code met de rechten van het n8n-proces uitvoeren. Hierdoor kan een aanvaller het systeem volledig compromitteren en zo toegang krijgen tot gevoelige data, workflows aanpassen en 'system-level operations' uitvoeren.

N8n kwam afgelopen december met een beveiligingsupdate voor het probleem. Aanvallers maken of hebben misbruik van het probleem gemaakt, zo stelt het Cybersecurity & Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Details over de aanvallen zijn niet gegeven. Amerikaanse overheidsinstanties die van n8n gebruikmaken zijn opgedragen om de update binnen twee weken te installeren mocht dat nog niet zijn gedaan.

De waarschuwing van het CISA volgt op een analyse van internetbedrijf Akamai dat n8n-servers het doelwit zijn van aanvallen door de Zerobot-malware. Deze malware is op de bekende Mirai-malware gebaseerd. Door Zerobot besmette systemen worden onderdeel van een botnet. Volgens Akamai is het n8n-lek eenvoudig te misbruiken. "Het vereist alleen een login van een gebruiker." Vervolgens heeft de aanvaller toegang tot alle data waar n8n toegang toe heeft. Eerder verscheen er al een proof-of-concept exploit voor het beveiligingslek, dat volgens Akamai het gemak en de schaal van aanvallen enorm vergroot.