Alle artikelen
Development2026-07-11

Gebruik je n8n? Pas op: al meerdere kwetsbaarheden dit jaar

Het NCSC waarschuwt opnieuw voor kwetsbaarheden in n8n: 14 CVE's in één advisory, eerder dit jaar zelfs een kritieke met CVSS 10. Wat je nu moet doen.

Gebruik je n8n? Pas op: al meerdere kwetsbaarheden dit jaar

n8n is een van de populairste tools om workflows en AI-agents mee te automatiseren, ook onder onze klanten. Maar wie n8n zelf host, moet dit jaar extra scherp zijn: het Nationaal Cyber Security Centrum (NCSC) publiceerde eind juni een advisory met veertien kwetsbaarheden, en het was niet de eerste van 2026.

Wat er aan de hand is

In advisory NCSC-2026-0212 (29 juni 2026) staan veertien CVE's, met scores tot 8.9. De aard van de kwetsbaarheden is divers en raakt de kern van waar n8n voor wordt gebruikt:

  • Geauthenticeerde gebruikers met bewerkingsrechten op workflows kunnen de Content-Security-Policy omzeilen via de Respond to Webhook-node en JavaScript injecteren via de Chat Trigger-node.
  • Ongeauthenticeerde aanvallers kunnen via de MicrosoftAgent365Trigger- en StripeTrigger-nodes valse payloads indienen, waardoor workflows draaien met kwaadaardige data.
  • Daarnaast: exfiltratie van API-tokens, toegang tot credentials van andere gebruikers en prototype pollution.

En dit staat niet op zichzelf. In januari verscheen al advisory NCSC-2026-0002, en eerder dit jaar werd CVE-2026-21858 gemeld: een kritieke kwetsbaarheid met de maximale score van 10.0 die ongeauthenticeerde overname van zelf-gehoste n8n-instanties mogelijk maakt, met naar schatting 100.000 kwetsbare servers wereldwijd. Er circuleren publieke proof-of-concepts die deze combineren met CVE-2025-68613 (9.9) tot een volledige remote code execution.

Wat je nu moet doen

  1. Update direct. De junikwetsbaarheden zijn verholpen in versies 1.123.55, 2.24.0, 2.25.7, 2.26.1 en 2.26.2. Draai je iets ouders, dan ben je kwetsbaar.
  2. Zet webhooks niet onnodig open. Meerdere van deze kwetsbaarheden lopen via publiek bereikbare trigger-nodes. Scherm ze af waar het kan.
  3. Beperk rechten en scheid credentials. Verschillende CVE's draaien om gebruikers die bij elkaars credentials kunnen. Geef workflow-bewerkingsrechten alleen aan wie ze nodig heeft.
  4. Maak iemand verantwoordelijk voor updates. Zelf hosten is niet erg, onbeheerd zelf hosten wel. n8n patcht snel; de vraag is of jij dat ook doet.

De eerlijke conclusie

Dit is geen reden om n8n af te schrijven. Elke veelgebruikte tool krijgt kwetsbaarheden, en n8n verhelpt ze netjes. Het is wél een reminder dat automatisering die aan je systemen, klantdata en betalingen hangt, hetzelfde beheer verdient als de rest van je software: patchen, monitoren en rechten beperken.

Draait jouw automatisering op een n8n-instantie waar al maanden niemand naar heeft omgekeken? Wij bouwen en beheren AI-agents en automatisering veilig en AVG-proof, inclusief het saaie werk zoals updates. Een gratis strategiegesprek vertelt je waar je staat.