Kritiek n8n-beveiligingslek actief misbruikt bij aanvallen waarschuwt VS

In dit artikel:

Aanvallers misbruiken actief een kritieke kwetsbaarheid (CVE-2025-68613, CVSS 10.0) in n8n, een populaire tool voor het automatiseren van workflows. De fout zit in het ‘workflow expression evaluation system’ en maakt zogenoemde expression injection mogelijk: een geauthenticeerde aanvaller kan daarmee willekeurige code uitvoeren met de rechten van het n8n-proces. Daardoor zijn volledige compromittering, toegang tot gevoelige data, aanpassing van workflows en system-level bewerkingen mogelijk.

N8n bracht in december een beveiligingsupdate uit om het lek te dichten, maar het Amerikaanse Cybersecurity & Infrastructure Security Agency (CISA) waarschuwt dat kwaadwillenden het probleem nog steeds benutten. CISA heeft overheidsinstanties die n8n gebruiken opgedragen de patch binnen twee weken te installeren. Netwerkanalyses van Akamai tonen dat n8n-servers worden aangevallen door Zerobot‑malware (een Mirai-variant) om systemen in botnets te trekken. Een eerder gepubliceerde proof-of-concept vergroot volgens onderzoekers het misbruikrisico, omdat exploitatie relatief weinig is beschermd (vereist slechts een gebruikerslogin).

Aanbeveling: onmiddellijk updaten, toegang beperken en activiteiten monitoren om verdere compromittering te voorkomen.