maj 16, 2026 eBuilder ingår avtal kring SOC/MDR med en TechHub.
maj 11, 2026 eBuilder ingår avtal kring SOC/MDR och automatiserade pentester med ett förlag.
maj 8, 2026 eBuilder ingår avtal kring pentester med ett världsledande petrokemisk producent.
april 8, 2026 eBuilder skriver avtal kring MDR/SOC med en hotellkedja.
mars 13, 2026 eBuilder skriver avtal om SOC-tjänst med mellansvensk kommun.
mars 2, 2026 Stort internationellt stålföretag väljer eBuilders Complorer för cybersäkerhetsutbildning.
mars 2, 2026 Stort internationellt stålföretag väljer eBuilder som leverantör för Penetrationstestning.
mars 2, 2026 En kommunikations-/brandingbyrå väljer eBuilders Complorer för cybersäkerhetsutbildning.
Company News
mobile-menu-icon
Sårbarheter

Kritisk n8n-sårbarhet exponerar 100 000 automationsinstanser för fjärrövertagning

Blog Reading Time 5 Lästid / maj 20, 2026
Critical n8n Sandbox Escape Exposes 100,000 Automation Instances to Remote Takeover

En kritisk sårbarhet i n8ns plattform för arbetsflödesautomation gör dte möjligt för autentiserade angripare att bryta sig ut ur säkerhetssandlådor och exekvera godtycklig kod på den underliggande servern.Sårbarheten, som har fått beteckningen CVE-2025-68613 och CVSS-poängen 9,9, påverkar n8n-versioner från 0.211.0 till 1.120.4 och har exploaterats aktivt enligt CISAs katalog över kända exploaterade sårbarheter. Mer än 24 700 opatchade instanser var fortfarande exponerade online i början av mars 2026.

Problemet finns i n8ns motor för uttrycksutvärdering, som bearbetar JavaScript-kod inom arbetsflödesdefinitioner utan tillräcklig isolering. Autentiserade användare även de med minimala privilegier, kan injicera skadliga uttryck som undkommer den avsedda sandlådan och exekverar med samma privilegier som n8n-processen. Orca Security beskriver det som möjliggörande av ”godtycklig kod på den underliggande servern via uttrycksinjicering” med full serverkompromiss som potential.

Angripare behöver endast grundläggande autentisering

Till skillnad från många angrepp mot automationsplattformar CVE-2025-68613 inte administratörsbehörighet. Det räcker att en användare har rätt att skapa eller redigera arbetsflöden. Attacken genomförs genom att angriparen skickar specialutformade JavaScript-uttryck i arbetsflödesnoder. När n8n utvärderar dessa uttryck under körning kan den skadliga koden bryta sig ur sandlådan och få full åtkomst till Node.js-miljön och det underliggande operativsystemet.

Säkerhetsföretaget Resecuritys skriver att sårbarheten ”direkt undergräver alla tre pelarna i CIA-triaden för konfidentialitet, integritet och tillgänglighet”.

En lyckad attack kan ge angriipare tillgång till API-nycklar, OAuth-tokens, databasreferenser och tjänsthemligheter som lagras inom n8n-arbetsflöden. Eftersom n8n vanligtvis fungerar som central orkestrering som kopplar ihop interna system och molntjänster, kan ett intrång snabbt sprida sig genom hela organisationen.

100 000 sårbara instanser var exponerade vid avslöjandet

SOCRadar uppskattar att mer än 100 000 internetåtkomliga n8n-instanser var sårbara när CVE-2025-68613 avslöjades i december 2025. Störst koncentration finns i USA, Tyskland, Frankrike, Brasilien och Singapore.

Aktuell statistik från Shadowserver Foundation visar att mer än 24 700 instanser fortfarande saknar säkerhetsuppdatering. Av dessa finns cirka 12 300 i Nordamerika och 7 800 i Europa.

Sårbarhetens omfattning är särskilt allvarlig eftersom n8n i allt större utsträckning används inom DevOps, kundsupport- och fintech-miljöer, där plattformen hanterar känsliga autentiseringsuppgifter och automatiserar affärskritiska processer. Threat Landscape varnar för att organisationer som förlitar sig på automation inom exempelvis, DevOps, kundsupport och fintech löper hög risk på grund av den känsliga naturen hos API-nycklarna som vanligtvis lagras i n8n-referenser.

Offentliga proof-of-concept-exploits finns redan tillgängliga, och CISAs tillägg till KEV-katalogen i mars 2026 bekräftar aktiv exploatering. Myndigheten har beordrat Federal Civilian Executive Branch-myndigheter att patcha sina n8n-instanser senast 25 mars 2026.

Flera relaterade sårbarheter kan kombineras

CVE-2025-68613 är del av ett kluster av kritiska n8n-sårbarheter som avslöjats under de senaste veckorna. Rapid7 identifierade fyra ytterligare CVE:er som kan kedjas ihop för mer sofistikerade angrepp: CVE-2026-21858 (CVSS 10,0) möjliggör oautentiserad filåtkomst, medan CVE-2026-21877 (CVSS 9,9) tillåter fjärrkodexekvering via godtycklig filskrivning. Säkerhetsforskaren Valentin Lobstein publicerade ett proof-of-concept som kedjar CVE-2026-21858 med CVE-2025-68613 för att uppnå oautentiserad fjärrkodexekvering.

Threat Landscape rapporterar att CVE-2026-25049, en kringgång av den ursprungliga CVE-2025-68613-fixningen, avslöjades i februari 2026. Detta mönster av flera kringgångar tyder på att de underliggande arkitektoniska problemen i n8ns system för uttrycksutvärdering är mer grundläggande än ursprungligen bedömt.

Patcha nu, granska senare

Omedelbar patchning krävs. n8n-versionerna 1.120.4, 1.121.1 och 1.122.0 innehåller fixar för CVE-2025-68613. För den nyare kringgången CVE-2026-25049, uppgradera till version 1.123.17 eller 2.5.2 eller högre. Dessa patchar introducerar korrekta sandlådekontroller som förhindrar uttryck från att undkomma sitt avsedda exekveringskontext.

Om omedelbar patchning inte är möjlig, begränsa skapande och redigering av arbetsflöden till en minimal betrodd användargrupp, implementera nätverkssegmentering för att isolera n8n-instanser, och granska webhook-konfigurationer för att säkerställa att offentligt riktade webhooks använder korrekt autentisering snarare än ”Ingen”. Granska alla lagrade referenser och API-nycklar för tecken på obehörig åtkomst.

Canadian Centre for Cyber Security och flera säkerhetsföretag har publicerat skannrar för kompromisindikatorer för miljöer som kan ha blivit intrångna före patchning. Med tanke på sexveckorsfönstret mellan initial exploatering och CISAs KEV-listning, anta att alla opatchade internetriktade n8n-instanser potentiellt komprometterades.

Referenser

  1. Orca Security: CVE-2025-68613 Critical n8n RCE & Server Compromise
  2. Rapid7: Ni8mare and N8scape Flaws Among Multiple Critical Vulnerabilities Affecting n8n
  3. SOCRadar: CVE-2025-68613 Critical RCE Vulnerability Disclosed in n8n
  4. The Hacker News: CISA Flags Actively Exploited n8n RCE Bug as 24,700 Instances Remain Exposed
  5. Canadian Centre for Cyber Security: AL26-001 Vulnerabilities Affecting n8n
  6. n8n GitHub Security Advisory: CVE-2025-68613
  7. CISA Known Exploited Vulnerabilities Catalogue

This post is also available in: English

Related News

Verizon DBIR Vulnerability Exploitation Overtakes Credentials as Top Breach Vector

Verizon DBIR: Sårbarhetsutnyttjande går om inloggningsuppgifter som främsta väg in vid dataintrång

Cyber News Calendar icon maj 21, 2026
Fortinet and Ivanti Close Critical Security Holes. Two Still Await AI-Driven Discovery

Fortinet och Ivanti täpper kritiska säkerhetshål: AI hittar två nya

Cyber News Calendar icon maj 14, 2026

Zero-click-sårbarhet i Microsoft 365 Copilot läckte känsliga data via e-post

Microsoft 365 Copilot innehöll en kritisk zero-click-sårbarhet som gjorde att angripare kunde stjäla känsliga företagsdata genom att bara skicka ett skadligt e-postmeddelande. Sårbarheten, som upptäcktes…

Cyber News Calendar icon maj 13, 2026
Single Git Push Could Have Compromised Millions of GitHub Repositories

Ett enda git push kunde kompromettera miljontals GitHub-repositorier

Cyber News Calendar icon april 30, 2026
Microsoft Defender Targeted by Three Zero-Days, Two Remain Unpatched

Microsoft Defender drabbat av tre zero-days – två fortfarande opatchade

Cyber News Calendar icon april 24, 2026

Ta nästa steg - säkra er verksamhet

Säkerställ att ert företag är skyddat mot cyberhot. Kontakta oss så berättar vi mer.

Kontakta oss