CVE-2026-56348
Kritisk

CVE-2026-56348: Kritisk sårbarhed i n8n – opdatér nu

Kritisk sårbarhed i n8n lader angribere stjæle loginoplysninger ved at omgå sikkerhedsrestriktioner – opdater straks til version 2.20.0.

CVSS Score
9.1
Offentliggjort
22/06/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Opdatér inden for 24-48 timer

Hvad er det?

n8n er et populært automatiseringsværktøj, der forbinder forskellige systemer og tjenester i din virksomhed. En sårbarhed i n8n-versioner før 2.20.0 gør det muligt for en bruger med adgang til systemet at narre n8n-serveren til at sende loginoplysninger (fx API-nøgler og adgangskoder) til uautoriserede servere udefra. Det sker via et specifikt API-endepunkt (en intern kommunikationskanal), der burde være begrænset til godkendte adresser – men begrænsningen kan omgås. Fejltypen kaldes SSRF (Server-Side Request Forgery), hvilket betyder at angriberen får selve serveren til at udføre ondsindede handlinger på sine vegne.

Hvem rammer det?

Sårbarheden rammer alle virksomheder og organisationer, der bruger n8n i en version ældre end 2.20.0 – særligt hvis:

  • n8n er tilgængeligt for flere brugere eller eksponeret mod internettet
  • n8n er konfigureret med følsomme legitimationsoplysninger (fx API-nøgler til regnskabssystemer, CRM eller betalingsløsninger)
  • Virksomheden bruger n8n til at automatisere processer med adgang til kritiske data

Selv en bruger med begrænset adgang kan udnytte sårbarheden, så det er ikke kun et problem for administratorer.

Hvad kan ske?

Hvis sårbarheden udnyttes, kan en angriber:

  • Stjæle loginoplysninger – API-nøgler, adgangstokens og andre hemmeligheder gemt i n8n kan lækkes til en ekstern server kontrolleret af angriberen
  • Få adgang til andre systemer – De stjålne oplysninger kan bruges til at logge ind på de tjenester, som n8n er forbundet til (fx regnskab, lager, e-mail)
  • Sprede sig i netværket – Med adgang til interne systemer kan angriberen bevæge sig videre og forårsage yderligere skade
  • Overtrædelse af databeskyttelsesregler – Lækage af persondata kan medføre bødekrav under GDPR

Hvor alvorligt er det?

Sårbarheden er vurderet til CVSS-score 9.1 ud af 10 – Kritisk. Den er kritisk af flere årsager:

  • Angrebet kræver kun et brugernavn og en adgangskode – ingen særlige rettigheder eller tekniske tricks
  • Det kan udføres direkte over nettet uden fysisk adgang
  • Offeret behøver ikke gøre noget – angriberen handler selv
  • Konsekvensen er høj fortrolighedsrisiko: dine loginoplysninger til tredjeparts­tjenester kan kompromitteres fuldstændigt

Fejltypen (CWE-918, SSRF) er på OWASPs liste over de mest kritiske sikkerhedsfejl i webapplikationer.

Hvad gør jeg nu?

Følg disse trin så hurtigt som muligt – helst inden for 24-48 timer:

  1. Identificér din version: Log ind på din n8n-instans og tjek versionsnummeret (typisk under Indstillinger eller i footeren). Er du under version 2.20.0, er du sårbar.
  2. Opdatér til n8n version 2.20.0 eller nyere: Hent den seneste version via n8n’s officielle hjemmeside eller via din pakkemanager (npm/Docker). Følg n8n’s opdateringsvejledning.
  3. Rotatér alle legitimationsoplysninger i n8n: Skift API-nøgler, adgangskoder og tokens for alle tjenester, der er konfigureret i n8n – uanset om du tror, de er kompromitteret eller ej.
  4. Gennemgå adgangslogge: Tjek om der har været usædvanlig aktivitet eller ukendte HTTP-kald fra din n8n-server de seneste måneder.
  5. Begræns adgang til n8n: Sørg for at n8n ikke er unødigt eksponeret mod internettet. Brug VPN eller IP-whitelisting (begrænsning til kendte IP-adresser) hvis muligt.
  6. Underret relevante medarbejdere: Informér dem, der har adgang til n8n, om situationen og de ændringer, der foretages.
Tidsfrist

Opdatér inden for 24-48 timer

Sådan ser Auroa det

Opdatér din n8n-installation til version 2.20.0 eller nyere hurtigst muligt – det er den eneste effektive løsning. Skift derefter alle API-nøgler og adgangstokens, der er gemt i n8n, da du ikke kan vide med sikkerhed, om de allerede er kompromitteret. Overvej desuden at begrænse, hvem der har brugeradgang til n8n, så kun de medarbejdere, der reelt har brug for det, kan logge ind. Har du brug for hjælp til opdatering eller til at vurdere om I er blevet ramt, er du velkommen til at kontakte os.

Tidslinje

22/06/2026
CVE offentliggjort
CVE-2026-56348 blev offentliggjort i National Vulnerability Database (NVD) med en kritisk CVSS-score på 9.1. Sårbarheden i n8n's POST-endepunkt blev samtidig beskrevet offentligt.
22/06/2026
Patch frigivet: n8n 2.20.0
n8n udgav version 2.20.0, der lukker sårbarheden ved at håndhæve Allowed HTTP Request Domains-begrænsningerne korrekt i det berørte endepunkt.
22/06/2026
Proof-of-Concept tilgængeligt
Tekniske detaljer om sårbarheden er offentligt tilgængelige i forbindelse med CVE-offentliggørelsen, hvilket gør det lettere for angribere at konstruere fungerende udnyttelseskode.
23/06/2026
Anbefalet: Rotatér legitimationsoplysninger
Sikkerhedseksperter anbefaler, at alle n8n-brugere under version 2.20.0 straks roterer alle API-nøgler og tokens gemt i systemet, uanset om de er blevet kompromitteret.

Konkrete eksempler

Stjæling af regnskabs-API-nøgle

En medarbejder med adgang til virksomhedens n8n-installation sender en manipuleret forespørgsel til det sårbare endepunkt og angiver sin egen eksterne server som destination. n8n-serveren sender herefter automatisk de gemte legitimationsoplysninger til regnskabssystemet – fx til en e-conomic eller Dinero API-nøgle – direkte til angribers server. Angriberen kan nu tilgå regnskabsdata eller foretage transaktioner uden at nogen opdager det.

Kompromittering via eksternt hacket medarbejderlogin

En ekstern angriber har fået fat i en medarbejders n8n-login via phishing. Med dette login udnytter angriberen sårbarheden til at få n8n til at sende alle gemte credentials – herunder adgang til CRM-systemet og e-mailplatformen – til en server i udlandet. Angriberen bruger herefter disse oplysninger til at tilgå kundedata og sende phishing-mails fra virksomhedens egen e-mailadresse.

Intern trussel: Misfornøjet medarbejder eksfiltrerer data

En medarbejder, der er ved at forlade virksomheden, udnytter sin n8n-adgang til at sende API-nøgler og tokens til sin private server inden sin sidste arbejdsdag. Da oplysningerne ikke umiddelbart roteres, har medarbejderen efterfølgende adgang til virksomhedens systemer i ugevis. Angrebet kræver ingen teknisk ekspertise – blot kendskab til det sårbare endepunkt.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
LOW
User Interaction
NONE
Scope
CHANGED
Confidentiality
HIGH
Integrity
LOW
Availability
LOW

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:L

CWE-svaghedstyper

CWE-918

Original NVD-beskrivelse (engelsk)

n8n before 2.20.0 contains a credential exfiltration vulnerability in the POST /rest/dynamic-node-parameters/options endpoint that allows authenticated users to bypass Allowed HTTP Request Domains restrictions. Attackers with credential access can cause the n8n server to issue HTTP requests with credentials to unauthorized hosts, exfiltrating sensitive authentication data.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Kritisk
CVSS Base Score
9.1
Visning
Hurtige fakta
CVE-ID
CVE-2026-56348
Offentliggjort
22/06/2026
Sidst opdateret
22/06/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Opdatér inden for 24-48 timer

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.