Datenschutz & Sicherheit

n8n: CERT-Bund veröffentlicht Warnmeldung zu kürzlich beseitigten Schwachstellen


Über seinen Warn- und Informationsdienst hat das CERT-Bund des BSI einen aktuellen Sicherheitshinweis zu n8n, einer quelloffenen Plattform zur Workflow-Automatisierung, veröffentlicht. Es verweist darin auf n8n-Advisories zu insgesamt 14 Schwachstellen, die in frisch veröffentlichten Versionen geschlossen wurden. Wer n8n selbst hostet, dürfte die Advisories schon vorab als Service per E-Mail erhalten haben.

Weiterlesen nach der Anzeige

In seinem Sicherheitshinweis bewertet das CERT die von den Schwachstellen ausgehende Gefahr in ihrer Gesamtheit als „kritisch“ mit dem CVSS-Base-Score 9.9 von 10.0 . Obwohl in den Einzelbeschreibungen der Lücken bei GitHub maximal Scores von 8.9 (“High“) auftauchen, sollte der CERT-Hinweis ausreichend Anlass bieten, verwundbare n8n-Instanzen auf den neuesten Stand zu bringen. Hinweise auf aktive Angriffe in freier Wildbahn umfasst die Veröffentlichung nicht.

Je nach Schwachstelle können die verwundbaren Versionen variieren. Deshalb ist es ratsam, direkt auf die aktuellsten, abgesicherten Releases 2.29, 2.30.2 (Pre-Release) beziehungsweise 1.123.64 umzusteigen.

Sieben Advisories befassen sich mit Lücken mit „High“, die übrigen mit „Moderate“-Einstufungen. Mit 8.9 am höchsten bewertet wurden dabei

Die übrigen „High“-Lücken umfassen Fehler im AI-Agent-Feature, zwei Cross-Site-Scripting-Angriffsmöglichkeiten (1 / 2) sowie eine Rechteausweitung auf Basis fehlerbehafteten Enterprise Single Sign-Ons (SSO).

Die CERT-Bund-Veröffentlichung beziehungsweise die Advisory-Übersicht im n8n-Repository liefern bei Bedarf einen Gesamtüberblick.

Weiterlesen nach der Anzeige


(ovw)



Source link

Beliebt

Die mobile Version verlassen