Schwachstellen in Apache (CVE-2026-23918) und n8n (CVE-2026-42231)

Im Apache Web-Server gibt es vor der Version 2.4.67 kritische Schwachstellen, die Millionen Web-Server in der Sicherheit gefährden. Zudem wurde eine Schwachstelle in der Software n8n entdeckt. Auch hier wurden die Schwachstellen durch ein Software-Update geschlossen. Die Produkte sollten aktualisiert werden.

Apache Version 2.4.6 schließt Schwachstellen

Bereits zum 5. Mai 2026 wurde die Apache Version 2.4.67 zum Schließen einer durch "Double Free" verursachten Remote-Code-Ausführungs-Schwachstelle (RCE) in HTTP/2 (CVE-2026-23918) sowie Sicherheitslücken bei der Authentifizierung veröffentlicht.

Obiger Tweet weist auf das Update hin, die Schwachstelle CVE-2026-23918 ist mit einem CVSS 3.1 Base Score von 8.8 (High) eingestuft. Einige Informationen finden sich in diesem Artikel.

Schwachstellen in n8n-Workflow-Automatisierungsplattform

n8n ist eine Open-Source-Plattform zur Workflow-Automatisierung. Dieses Tweet weist auf kritische Sicherheitslücken in n8n hin, die die Kompromittierung von Prototypen und RCEs ermöglichen. Bei der als kritisch eingestuften Schwachstelle CVE-2026-42231 (CVSSv3.1: 9,4) ermöglichte diese vor den Versionen 1.123.32, 2.17.4 und 2.18.1 in der Bibliothek "xml2js", die im Webhook-Handler von n8n zum Parsen von XML-Anfragetexten verwendet wird, eine Prototyp-Verfälschung durch eine speziell gestaltete XML-Nutzlast.

Ein authentifizierter Benutzer mit der Berechtigung, Workflows zu erstellen oder zu ändern, konnte dies ausnutzen, um den JavaScript-Objektprototyp zu verfälschen und durch Verknüpfung der Verfälschung mit den SSH-Operationen des Git-Knotens eine Remote-Codeausführung auf dem n8n-Host zu erreichen. Dieses Problem wurde in den Versionen 1.123.32, 2.17.4 und 2.18.1 behoben.