‼️CVE-2026-25049: N8n AI Workflow Remote Code Execution

"This vulnerability allows an attacker to execute arbitrary system commands through misconfigured or insecure AI workflow execution paths. When chained correctly, it can lead to full server compromise depending on deployment configuration."

Video Credit: youtube.com/@SecureLayer7

⚠️ Critical RCE flaw in n8n (CVE-2026-25049, CVSS 9.4) lets authenticated users execute system commands via crafted workflow expressions.

Public webhooks exposed → remote trigger, credential theft, server takeover.

🔗 Exploit path, affected versions, patch details → https://thehackernews.com/2026/02/critical-n8n-flaw-cve-2026-25049.html

Critical n8n flaws (CVE-2026-25049) have been disclosed, allowing authenticated users to achieve remote code execution and gain complete control of the host server by bypassing sanitization mechanisms. Users are advised to update to the latest version (1.123.17 and 2.5.2) and rotate credentials to mitigate these vulnerabilities.
https://www.bleepingcomputer.com/news/security/critical-n8n-flaws-disclosed-along-with-public-exploits/

Yet another critical vulnerability in n8n - CVE-2026-25049 (CVSS 9.4).

Vulnerability detection script here:
https://github.com/rxerium/rxerium-templates/blob/main/2026/CVE-2026-25049.yaml

Patched versions are 1.123.17 / 2.5.2 as per:
https://github.com/n8n-io/n8n/security/advisories/GHSA-6cqr-8cfr-67f8

n8n : la faille critique CVE-2026-25049 réactive une précédente vulnérabilité https://www.it-connect.fr/n8n-cve-2026-25049-execution-code-a-distance/ #ActuCybersécurité #Cybersécurité #Vulnérabilité

It seems that the recent #n8n CVE-2026-25049 is (EDIT: or was? My e-mail got answered with a generic response by an AI assistant) not only exploitable on self-hosted instances, but also in the n8n cloud. At least this is what the URL briefly visible in this video indicates. https://www.youtube.com/watch?v=QLrm7jx8kew (skip to 0:15 for a clear shot).

En las últimas 24 horas, ataques críticos apuntan a VMware ESXi y servidores NGINX, mientras herramientas avanzadas evaden soluciones EDR y métodos sofisticados reducen la seguridad MFA incluso con FIDO2; además, se detecta vulnerabilidad remota en n8n y se revelan ciberoperaciones estadounidenses contra Irán, resaltando crecientes riesgos globales. Descubre estos y más detalles en el siguiente listado de noticias sobre seguridad informática:

🗞️ ÚLTIMAS NOTICIAS EN SEGURIDAD INFORMÁTICA 🔒
====| 🔥 LO QUE DEBES SABER HOY 05/02/26 📆 |====

🚨 VULNERABILIDAD CRÍTICA EN VMWARE ESXI EXPLOTADA POR RANSOMWARE

La Agencia de Seguridad Cibernética y de Infraestructura (CISA) ha confirmado que grupos de ransomware están aprovechando una vulnerabilidad en VMware ESXi que permite a los atacantes escapar del entorno de sandbox y ejecutar código malicioso. Esta falla, previamente identificada en ataques de día cero, representa un riesgo severo para infraestructuras virtualizadas, comprometiendo la seguridad y continuidad de sistemas empresariales críticos. Mantén tu entorno actualizado y monitorea posibles indicadores de compromiso para evitar ser víctima. Descubre cómo protegerte frente a esta amenaza aquí 👉 https://t.co/nK1eQQfD5T

🛡️ HERRAMIENTA QUE ELIMINA SOLUCIONES EDR UTILIZA DRIVER FIRMADO LEGÍTIMO

Recientes investigaciones revelan que ciberdelincuentes están utilizando un driver legítimo, aunque revocado, de EnCase en una herramienta avanzada destinada a deshabilitar soluciones de detección y respuesta en endpoints (EDR). Esta técnica detecta hasta 59 herramientas de seguridad diferentes para neutralizarlas, incrementando la efectividad de los ataques al evadir defensas automatizadas. Es crucial verificar la integridad de los controladores en tus sistemas y actualizar las políticas de seguridad para mitigar este riesgo. Aprende más sobre esta amenaza sofisticada y cómo defenderte 👉 https://djar.co/yEywQ

🔐 ATAQUES DE REDUCCIÓN DE NIVEL DE AUTENTICACIÓN: EVADIENDO MFA AVANZADO

Un análisis profundo expone métodos utilizados por atacantes para forzar a las víctimas a emplear métodos de autenticación vulnerables al phishing, incluso cuando se usan claves hardware FIDO2. Estos ataques de reducción de nivel de autenticación representan una amenaza grave para la seguridad multi-factor (MFA), al crear vectores de entrada alternativos fácilmente explotables. Es vital comprender estas técnicas para fortalecer las defensas y educar a los usuarios sobre prácticas seguras en la gestión de autenticaciones. Infórmate sobre las tácticas y cómo proteger tu identidad digital 👉 https://djar.co/8g6feU

🌐 SERVIDORES NGINX COMPROMETIDOS PARA SECUESTRAR TRÁFICO DE USUARIOS

Se ha detectado un actor malicioso que compromete servidores NGINX con el objetivo de redirigir el tráfico legítimo de usuarios hacia su infraestructura controlada, facilitando técnicas de phishing, malware o robo de datos. Este compromiso afecta la confianza y seguridad de las comunicaciones en línea, especialmente para sitios web que emplean esta popular plataforma. Es fundamental revisar las configuraciones y parches de seguridad en servidores NGINX para evitar ser parte de esta cadena de ataque. Conoce las señales de compromiso y cómo reforzar tu servidor 👉 https://djar.co/RJrd

💥 VULNERABILIDAD DE EJECUCIÓN REMOTA DE CÓDIGO EN N8N (CVE-2026-25049)

Se ha identificado una grave vulnerabilidad en n8n, una herramienta de automatización de flujos de trabajo, que permite la ejecución remota de código. Esta falla puede ser explotada para controlar sistemas afectados y realizar acciones maliciosas sin autorización, poniendo en riesgo la integridad y confidencialidad de datos. Mantener actualizado n8n con los últimos parches es indispensable para evitar esta amenaza. Consulta el análisis completo y las recomendaciones para protegerte 👉 https://djar.co/kQzEg

⚔️ USO DE CIBERARMAS POR EE. UU. PARA INTERRUPCIÓN DE DEFENSAS AÉREAS IRANÍES EN 2025

Recientes revelaciones indican que el Ejército de Estados Unidos empleó armas cibernéticas para atacar sistemas de defensa aérea iraníes durante 2025, marcando una de las operaciones más sofisticadas y estratégicas en el ámbito de la guerra cibernética contra Irán. Este episodio subraya la creciente importancia de la ciberdefensa en conflictos geopolíticos y la necesidad de fortalecer las infraestructuras críticas contra amenazas estatales avanzadas. Profundiza en los detalles de esta operación y sus implicaciones globales 👉 https://djar.co/JlWAJ

CVE-2026-25049 highlights weaknesses in sandboxing user-defined JavaScript expressions within n8n workflows.

Multiple research teams demonstrated authenticated sandbox escape leading to unrestricted RCE, credential exposure, filesystem access, cloud pivoting, and AI workflow manipulation. The issue stems from incomplete AST-based sandboxing and runtime enforcement gaps.

Fixes have been released, and mitigation guidance includes updating, rotating secrets, and restricting workflow permissions.

Source: https://www.bleepingcomputer.com/news/security/critical-n8n-flaws-disclosed-along-with-public-exploits/

💬 What lessons does this case offer for securing automation platforms?

➕ Follow TechNadu for accurate, vendor-neutral infosec reporting.

#Infosec #CVE #n8n #SandboxEscape #RCE #CloudSecurity #DevSecOps

Collectively tracked as CVE-2026-25049, the issues can be exploited by any authenticated user who can create or edit workflows on the platform to perform unrestricted remote code execution on the n8n server. https://www.bleepingcomputer.com/news/security/critical-n8n-flaws-disclosed-along-with-public-exploits/

Here's a summary of the latest important global, technology, and cybersecurity news from the last 24 hours:

**Global:** The US and Russia's New START treaty expired February 5, raising nuclear stability concerns. Israeli airstrikes killed at least 21 Palestinians in Gaza on February 4.

**Technology:** Intel launched new AI chips to challenge Nvidia, and Microsoft/Apple expanded AI tools. SpaceX acquired xAI to advance orbital data centers on February 5. AI is now central to business, drawing half of global startup funding.

**Cybersecurity:** A ransomware group allegedly hit a US airport on February 4. CISA added an actively exploited SolarWinds RCE vulnerability (CVE-2025-40551) to its KEV catalog. Gartner outlined top 2026 cyber trends, including Agentic AI oversight and post-quantum computing.

#News #Anonymous #AnonNews_irc

The vulnerability under attack, CVE-2025-40551, is an untrusted deserialization flaw that can lead to remote code execution, allowing a remote, unauthenticated attacker to execute OS commands on the affected system. https://www.theregister.com/2026/02/04/critical_solarwinds_web_help_desk/

Only quickly popping on here from an otherwise very nice Fediverse vacation, because NCSC-NL has just put out an “assume-breach” warning. That’s… kinda big.

https://www.ncsc.nl/waarschuwing/ncsc-roept-organisaties-op-zich-te-melden-bij-gebruik-van-ivanti-endpoint-manager (Dutch)

#Ivanti #CVE20261281 #EPMM #MobileIron #NCSC_NL #Cybersecurity #infosec #IOC #NCSC

This Ivanti Endpoint Manager Mobile (IPMM) security advisory seems to fit the timeline of the incident: https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Endpoint-Manager-Mobile-EPMM-CVE-2026-1281-CVE-2026-1340?language=en_US

Angriffe auf Office-Schwachstelle CVE-2026-21509 durch russische APT28 beobachtet.

https://borncity.com/blog/2026/02/04/angriffe-auf-office-schwachstelle-und-auf-outlook/

Whatever your system is you need to patch in the fix for this CVE:

https://www.cve.org/CVERecord?id=CVE-2026-24061

The attack requires no credentials, no prior system access, and no user interaction.

Geez.

Here are the release notes from Synology, the CVE and some lay reporting on just how incredibly bad this bug is and how long it has lingered providing backdoor root level access to a really long list of devices running Telnet. So many routing/networking devices have Telnet access at least as an option which can be enabled to this day, despite this being an absolutely terrible idea.

https://www.synology.com/en-us/releaseNote/DSM?model=DS1821%2B#ver_86009-1

https://www.cve.org/CVERecord?id=CVE-2026-24061

https://www.theregister.com/2026/01/22/root_telnet_bug/

BSI-Warnung: 2.500 deutsche VMware ESXi-Server im Internet erreichbar; Angriffe über CVE-2025-22225

https://borncity.com/blog/2026/02/04/cert-bund-warnt-2-500-vmware-esxi-server-im-internet-erreichbar/