Die Schwachstelle betrifft n8n, eine quelloffene Plattform zur Automatisierung von Arbeitsabläufen. Sie steckt im sogenannten Merge-Knoten, genauer in dessen Modus „Combine by SQL", über den sich Daten per SQL-Abfrage zusammenführen lassen. Ausnutzen kann den Fehler ein bereits angemeldeter Benutzer, der berechtigt ist, Arbeitsabläufe anzulegen oder zu bearbeiten. Ursache ist die unzureichende Absicherung der zugrunde liegenden SQL-Verarbeitung (AlaSQL): Die Sandbox schränkt bestimmte SQL-Anweisungen nicht ausreichend ein. Dadurch kann ein Angreifer lokale Dateien auf dem Server lesen, auf dem n8n läuft, und so an sensible Inhalte gelangen. Mehr noch: Über diesen Weg lässt sich beliebiger Code auf dem Host ausführen und damit die gesamte Instanz übernehmen. Besonders kritisch ist das in Umgebungen, in denen die Berechtigung zum Erstellen oder Ändern von Arbeitsabläufen nicht auf vollständig vertrauenswürdige Personen beschränkt ist.