CVE-2026-0863: Kritische Sicherheitslücke in n8n's Python-Task-Executor
⚠️ CVE-Referenzen:
CVE-2026-0863
Zusammenfassung
Eine Schwachstelle in n8n's Python-Task-Executor ermöglicht es Angreifern, durch Manipulation der Stringformatierung und Ausnahmebehandlung, die Sandbox-Beschränkungen zu umgehen und beliebigen Code auf dem zugrunde liegenden Betriebssystem auszuführen. Dies kann in einem vollständigen Kontrollverlust über die n8n-Instanz resultieren, sofern sie im "Internen" Ausführungsmodus betrieben wird. Nutzer mit Basisprivilegien können die Lücke ausnutzen. Für den "Externen" Ausführungsmodus ist die Auswirkung deutlich geringer, da die Codeausführung dann in einem Sidecar-Container erfolgt.
Using string formatting and exception handling, an attacker may bypass n8n's python-task-executor sandbox restrictions and run arbitrary unrestricted Python code in the underlying operating system.
The vulnerability can be exploited via the Code block by an authenticated user with basic permissions and can lead to a full n8n instance takeover on instances operating under "Internal" execution mode.
If the instance is operating under the "External" execution mode (ex. n8n's official Docker image) - arbitrary code execution occurs inside a Sidecar container and not the main node, which significantly reduces the vulnerability impact.
Quelle: app.opencve.io