Zahlreiche Schwachstellen in n8n

Oliver Peters / 123rf.com

Für die Open-Source-Plattform n8n zur Workflow-Automatisierung wurden 14
Sicherheitslücken geschlossen. Die Schwachstellen betreffen verschiedene
Komponenten der Software und wurden mit aktuellen Versionen behoben. Betreiber selbst gehosteter Instanzen sollten ihre Installationen zeitnah aktualisieren. Da unterschiedliche Versionen von den einzelnen Lücken betroffen sind, empfiehlt sich ein Update auf die abgesicherten Releases 2.29, 2.30.2
(Pre-Release) oder 1.123.64.

Sieben der veröffentlichten Sicherheitsmeldungen betreffen schwerwiegende Schwachstellen. Dazu zählen eine Race Condition im Git-Node, bei der zeitgleich ablaufende Prozesse unerwartete Zustände verursachen können und die unter bestimmten Voraussetzungen eine Remote Code Execution durch authentifizierte Nutzer ermöglichen kann.

Ebenfalls behoben wurde ein Fehler im Legacy Expression Evaluator, der unter bestimmten Bedingungen ebenfalls zur Ausführung von beliebigem Code missbraucht werden kann. Eine weitere Schwachstelle betrifft JSON Web Tokens (JWT), die zur Authentifizierung verwendet werden. Sie kann unter Umständen eine Rechteausweitung ermöglichen, sodass Nutzer mehr Berechtigungen erhalten als vorgesehen und anschließend Code ausführen können.

Weitere schwerwiegende Lücken betreffen die AI-Agent-Funktion, zwei Cross-Site-Scripting-Schwachstellen (XSS), bei denen Angreifer schädliche Skripte in Webseiten einschleusen können, sowie eine fehlerhafte Enterprise-Single-Sign-on-Implementierung (SSO). Fehler in der SSO-Authentifizierung können dazu führen, dass Nutzer unzulässig höhere Berechtigungen erhalten.

E-Mail Benachrichtigung
Benachrichtige mich zu:
0 Kommentare
Älteste
Neuste Beste Bewertung
Nach oben