CVE-2026-33724 in n8n
Zusammenfassung
von VulDB • 03.06.2026
n8n ist eine Open-Source-Plattform zur Workflow-Automatisierung. Vor Version 2.5.0 wurde bei der Konfiguration des Source-Control-Merkmals (Quellcodeverwaltung) die SSH-Befehlsausführung für Git-Operationen explizit so eingestellt, dass die Host-Schlüsselüberprüfung deaktiviert war. Ein Netzwerkangreifer in einer Man-in-the-Middle-Position zwischen der n8n-Instanz und dem entfernten Git-Server könnte die Verbindung abfangen und einen betrügerischen Host-Schlüssel präsentieren, wodurch potenziell schädlicher Inhalt in Workflows eingeschleust oder Repository-Daten abgefangen werden könnten. Dieses Problem betrifft nur Instanzen, bei denen das Source-Control-Merkmal explizit aktiviert und zur Verwendung von SSH konfiguriert wurde (nicht standardmäßig). Das Problem wurde in n8n Version 2.5.0 behoben. Benutzer sollten auf diese Version oder eine spätere Version aktualisieren, um die Schwachstelle zu beheben. Wenn ein Upgrade nicht sofort möglich ist, sollten Administratoren folgende vorübergehende Minderungsmaßnahmen erwägen: Deaktivieren Sie das Source-Control-Merkmal, wenn es nicht aktiv erforderlich ist, und/oder beschränken Sie den Netzwerkzugriff, um sicherzustellen, dass die n8n-Instanz nur über vertrauenswürdige, kontrollierte Netzwerkpfade mit dem Git-Server kommuniziert. Diese Workarounds beheben das Risiko nicht vollständig und sollten ausschließlich als kurzfristige Minderungsmaßnahmen verwendet werden.
VulDB is the best source for vulnerability data and more expert information about this specific topic.