Nieuws
image

Kritiek n8n-beveiligingslek actief misbruikt bij aanvallen waarschuwt VS

donderdag 12 maart 2026, 10:39 door Redactie, 2 reacties

Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in n8n, zo waarschuwt het cyberagentschap van de Amerikaanse overheid. Het beveiligingslek, waarvan de impact op een schaal van 1 tot en met 10 beoordeeld is met een 10.0, maakt remote code execution (RCE) mogelijk. N8n is een tool voor het automatiseren van workflows en maakt het mogelijk om taken te automatiseren en data tussen allerlei apps, tools, platforms en services uit te wisselen.

Een kwetsbaarheid (CVE-2025-68613) in het 'workflow expression evaluation system' van n8n maakt 'expression injection' mogelijk. Een geauthenticeerde aanvaller kan op deze manier willekeurige code met de rechten van het n8n-proces uitvoeren. Hierdoor kan een aanvaller het systeem volledig compromitteren en zo toegang krijgen tot gevoelige data, workflows aanpassen en 'system-level operations' uitvoeren.

N8n kwam afgelopen december met een beveiligingsupdate voor het probleem. Aanvallers maken of hebben misbruik van het probleem gemaakt, zo stelt het Cybersecurity & Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Details over de aanvallen zijn niet gegeven. Amerikaanse overheidsinstanties die van n8n gebruikmaken zijn opgedragen om de update binnen twee weken te installeren mocht dat nog niet zijn gedaan.

De waarschuwing van het CISA volgt op een analyse van internetbedrijf Akamai dat n8n-servers het doelwit zijn van aanvallen door de Zerobot-malware. Deze malware is op de bekende Mirai-malware gebaseerd. Door Zerobot besmette systemen worden onderdeel van een botnet. Volgens Akamai is het n8n-lek eenvoudig te misbruiken. "Het vereist alleen een login van een gebruiker." Vervolgens heeft de aanvaller toegang tot alle data waar n8n toegang toe heeft. Eerder verscheen er al een proof-of-concept exploit voor het beveiligingslek, dat volgens Akamai het gemak en de schaal van aanvallen enorm vergroot.

Reacties (2)
Reageer met quote
12-03-2026, 15:44 door Anoniem
Kan iemand mij uitleggen waarom deze kwetsbaarheid een CVSS 10.0 krijgt?

RCE is uiteraard serieus, maar om dit dezelfde maximale score te geven als kwetsbaarheden waarbij een unauthenticated aanvaller direct code op het systeem kan uitvoeren (als root), voelt nogal scheef. In dit geval is er immers een geldige login nodig om het te misbruiken. Je moet dus of aannemen dat de applicatie direct aan internet hangt, of dat het interne netwerk al gecompromitteerd is door malware of een insider.

Daarnaast is n8n een automatiseringsplatform waarin code execution binnen workflows juist een feature is (weliswaar in een sandbox). Als een aanvaller een valide login nodig heeft, lijkt mij het risico in de praktijk een stuk beperkter dan bij een directe unauthenticated RCE.. Is dit dan niet eerder een sandbox escape of privilege escalation? Een CVSS 10.0 voelt hier meer als een theoretisch worst-case scenario dan een realistische inschatting van het risico.

Of is CVSS tegenwoordig een wedstrijdje hoogste score halen?
Reageer met quote
13-03-2026, 05:09 door Anoniem
Door Anoniem: Kan iemand mij uitleggen waarom deze kwetsbaarheid een CVSS 10.0 krijgt?
Kijk eens hier bij de CVE-beschrijving van NIST NVD:
https://nvd.nist.gov/vuln/detail/CVE-2025-68613
Daar zie je onder "Metrics" twee CVSS-scores (CVSS-versie 3.x, de nieuwste berekeningsmethode is kennelijk nog niet toegepast), een van NVD zelf (8,8 high) en een van GitHub (9,9 critical). Achter beide scores zie je een "vector" die alle parameters waaruit de score is berekend specificeert. Als je je muiscursor erboven laat hangen verschijnt een kadertje met een leesbare versie van die parameters.

Er zijn dus al verschillende inschattingen van de ernst van deze kwetsbaarheid en dus van de score. Ik zie daar 9.9 staan als hoogste schatting en ik weet niet waar die 10.0 vandaan kwam, ofwel worden die scores gaandeweg verfijnd, ofwel is er weer een andere partij die het weer net iets anders heeft gescoord.

Zo'n "vector" op zichzelf vertelt je nog niet zo heel veel, maar je kan naar de documentatie voor CVSS gaan voor meer inzicht:
https://www.first.org/cvss/specification-document
Merk op dat je dan in de actuele versie (4.0) van de specificatie uitkomt en een van de links bovenin het document of in het menu moet volgen naar eerdere versies.

De beschrijving van elke versie heeft een calculator waar je mee kan spelen door voor de genoemde parameters mogelijkheden te selecteren. De parameters uit de vector kan je aanklikken en als je de muiscursor boven zo'n "knop" laat hangen zie je een beschrijving van wat die betekent. Zodra je voor alle parameters in de base score hebt gekozen zie je een CVSS-waarde verschijnen.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure Salt Road Compromised Components