CVE-2026-56348: Kritisk sårbarhed i n8n – opdatér nu
Kritisk sårbarhed i n8n lader angribere stjæle loginoplysninger ved at omgå sikkerhedsrestriktioner – opdater straks til version 2.20.0.
Hvad er det?
n8n er et populært automatiseringsværktøj, der forbinder forskellige systemer og tjenester i din virksomhed. En sårbarhed i n8n-versioner før 2.20.0 gør det muligt for en bruger med adgang til systemet at narre n8n-serveren til at sende loginoplysninger (fx API-nøgler og adgangskoder) til uautoriserede servere udefra. Det sker via et specifikt API-endepunkt (en intern kommunikationskanal), der burde være begrænset til godkendte adresser – men begrænsningen kan omgås. Fejltypen kaldes SSRF (Server-Side Request Forgery), hvilket betyder at angriberen får selve serveren til at udføre ondsindede handlinger på sine vegne.
Hvem rammer det?
Sårbarheden rammer alle virksomheder og organisationer, der bruger n8n i en version ældre end 2.20.0 – særligt hvis:
- n8n er tilgængeligt for flere brugere eller eksponeret mod internettet
- n8n er konfigureret med følsomme legitimationsoplysninger (fx API-nøgler til regnskabssystemer, CRM eller betalingsløsninger)
- Virksomheden bruger n8n til at automatisere processer med adgang til kritiske data
Selv en bruger med begrænset adgang kan udnytte sårbarheden, så det er ikke kun et problem for administratorer.
Hvad kan ske?
Hvis sårbarheden udnyttes, kan en angriber:
- Stjæle loginoplysninger – API-nøgler, adgangstokens og andre hemmeligheder gemt i n8n kan lækkes til en ekstern server kontrolleret af angriberen
- Få adgang til andre systemer – De stjålne oplysninger kan bruges til at logge ind på de tjenester, som n8n er forbundet til (fx regnskab, lager, e-mail)
- Sprede sig i netværket – Med adgang til interne systemer kan angriberen bevæge sig videre og forårsage yderligere skade
- Overtrædelse af databeskyttelsesregler – Lækage af persondata kan medføre bødekrav under GDPR
Hvor alvorligt er det?
Sårbarheden er vurderet til CVSS-score 9.1 ud af 10 – Kritisk. Den er kritisk af flere årsager:
- Angrebet kræver kun et brugernavn og en adgangskode – ingen særlige rettigheder eller tekniske tricks
- Det kan udføres direkte over nettet uden fysisk adgang
- Offeret behøver ikke gøre noget – angriberen handler selv
- Konsekvensen er høj fortrolighedsrisiko: dine loginoplysninger til tredjepartstjenester kan kompromitteres fuldstændigt
Fejltypen (CWE-918, SSRF) er på OWASPs liste over de mest kritiske sikkerhedsfejl i webapplikationer.
Hvad gør jeg nu?
Følg disse trin så hurtigt som muligt – helst inden for 24-48 timer:
- Identificér din version: Log ind på din n8n-instans og tjek versionsnummeret (typisk under Indstillinger eller i footeren). Er du under version 2.20.0, er du sårbar.
- Opdatér til n8n version 2.20.0 eller nyere: Hent den seneste version via n8n’s officielle hjemmeside eller via din pakkemanager (npm/Docker). Følg n8n’s opdateringsvejledning.
- Rotatér alle legitimationsoplysninger i n8n: Skift API-nøgler, adgangskoder og tokens for alle tjenester, der er konfigureret i n8n – uanset om du tror, de er kompromitteret eller ej.
- Gennemgå adgangslogge: Tjek om der har været usædvanlig aktivitet eller ukendte HTTP-kald fra din n8n-server de seneste måneder.
- Begræns adgang til n8n: Sørg for at n8n ikke er unødigt eksponeret mod internettet. Brug VPN eller IP-whitelisting (begrænsning til kendte IP-adresser) hvis muligt.
- Underret relevante medarbejdere: Informér dem, der har adgang til n8n, om situationen og de ændringer, der foretages.
Opdatér inden for 24-48 timer
Opdatér din n8n-installation til version 2.20.0 eller nyere hurtigst muligt – det er den eneste effektive løsning. Skift derefter alle API-nøgler og adgangstokens, der er gemt i n8n, da du ikke kan vide med sikkerhed, om de allerede er kompromitteret. Overvej desuden at begrænse, hvem der har brugeradgang til n8n, så kun de medarbejdere, der reelt har brug for det, kan logge ind. Har du brug for hjælp til opdatering eller til at vurdere om I er blevet ramt, er du velkommen til at kontakte os.
Tidslinje
Konkrete eksempler
Stjæling af regnskabs-API-nøgle
En medarbejder med adgang til virksomhedens n8n-installation sender en manipuleret forespørgsel til det sårbare endepunkt og angiver sin egen eksterne server som destination. n8n-serveren sender herefter automatisk de gemte legitimationsoplysninger til regnskabssystemet – fx til en e-conomic eller Dinero API-nøgle – direkte til angribers server. Angriberen kan nu tilgå regnskabsdata eller foretage transaktioner uden at nogen opdager det.
Kompromittering via eksternt hacket medarbejderlogin
En ekstern angriber har fået fat i en medarbejders n8n-login via phishing. Med dette login udnytter angriberen sårbarheden til at få n8n til at sende alle gemte credentials – herunder adgang til CRM-systemet og e-mailplatformen – til en server i udlandet. Angriberen bruger herefter disse oplysninger til at tilgå kundedata og sende phishing-mails fra virksomhedens egen e-mailadresse.
Intern trussel: Misfornøjet medarbejder eksfiltrerer data
En medarbejder, der er ved at forlade virksomheden, udnytter sin n8n-adgang til at sende API-nøgler og tokens til sin private server inden sin sidste arbejdsdag. Da oplysningerne ikke umiddelbart roteres, har medarbejderen efterfølgende adgang til virksomhedens systemer i ugevis. Angrebet kræver ingen teknisk ekspertise – blot kendskab til det sårbare endepunkt.
Ofte stillede spørgsmål
Skal jeg være administrator i n8n for at blive ramt?
Nej. Sårbarheden kan udnyttes af enhver bruger med en gyldig konto i n8n – det kræver ikke administratorrettigheder. Det betyder, at selv en medarbejder med begrænset adgang potentielt kan misbruge fejlen, eller at en angriber med et stjålet medarbejderlogin kan gøre det.
Hvad er API-nøgler, og hvorfor er de vigtige at beskytte?
En API-nøgle er en slags digital adgangskode, som systemer bruger til at kommunikere sikkert med hinanden – fx når n8n sender data til dit regnskabsprogram eller din webshop. Hvis en angriber får fat i disse nøgler, kan de logge ind på dine tjenester, hente data eller lave ændringer, som om de var dig.
Vi har n8n installeret internt og ikke på internettet – er vi stadig i fare?
Risikoen er lavere, men ikke elimineret. Hvis en medarbejder med adgang til det interne netværk er ondsindet eller har fået sit login kompromitteret, kan angrebet stadig gennemføres. Det anbefales at opdatere uanset installationstype og at rotere legitimationsoplysninger som en sikkerhedsforanstaltning.
Hvordan ved jeg om vi allerede er blevet angrebet?
Tjek n8n’s aktivitetslogge for usædvanlige HTTP-kald til ukendte eksterne adresser, og se om der har været login-forsøg eller aktivitet på ukendte tidspunkter. Undersøg også om de tjenester, n8n har adgang til, har registreret mistænkelig aktivitet. Har I ikke logning opsat, kan det være svært at afgøre – kontakt os for hjælp til at vurdere situationen.
Vil en opdatering påvirke vores eksisterende automatiseringer i n8n?
En opdatering til version 2.20.0 er primært en sikkerhedsopdatering og bør ikke bryde eksisterende workflows. Det anbefales dog altid at tage en backup af n8n’s konfiguration og workflows inden opdatering, og at teste kritiske automatiseringer efterfølgende for at sikre de fungerer som forventet.
Hvad er SSRF, og hvorfor er det farligt?
SSRF (Server-Side Request Forgery) er en angrebstype, hvor en angriber narrer en server til at sende forespørgsler til steder, den ikke burde. I dette tilfælde kan n8n-serveren tvinges til at sende dine loginoplysninger til en server, som angriberen kontrollerer. Det er farligt, fordi serveren handler på angribers vegne – og det kan se ud som normal trafik udefra.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:L
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
n8n before 2.20.0 contains a credential exfiltration vulnerability in the POST /rest/dynamic-node-parameters/options endpoint that allows authenticated users to bypass Allowed HTTP Request Domains restrictions. Attackers with credential access can cause the n8n server to issue HTTP requests with credentials to unauthorized hosts, exfiltrating sensitive authentication data.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
