Уязвимост CVE-2026-25049 n8n
Новоразкрита уязвимост в сигурността на платформата за автоматизация на работни процеси n8n позволява изпълнението на произволни системни команди при определени условия. Уязвимостта е проследена като CVE-2026-25049 и носи CVSS оценка от 9.4, което отразява критичната ѝ тежест. Ако бъде използвана успешно, проблемът позволява на атакуващите да изпълняват команди на системно ниво на сървъра, на който е инсталиран n8n.
Съдържание
Заобикаляне на предварително коригирана уязвимост
CVE-2026-25049 произтича от недостатъчна дезинфекция, която заобикаля защитите, въведени за отстраняване на CVE-2025-68613 (CVSS 9.9), критична уязвимост, поправена през декември 2025 г. Последващ анализ показа, че по-новата CVE е по-скоро заобикаляне на оригиналното решение, отколкото напълно отделен проблем. Изследователите демонстрираха, че и двете уязвимости позволяват на атакуващите да избегнат пясъчника на изразите на n8n и да заобиколят съществуващите проверки за сигурност. След по-ранното разкриване бяха идентифицирани и отстранени и допълнителни слабости в оценката на изразите.
Предварителни условия за атака и механика на експлоатация
Всеки удостоверен потребител с разрешение за създаване или промяна на работни потоци може да използва уязвимостта. Чрез инжектиране на специално създадени изрази в параметрите на работния процес става възможно да се задейства неволно изпълнение на системни команди. Особено опасен сценарий включва създаването на работен процес, който предоставя публично достъпен уеб кукичка без удостоверяване. Чрез вграждане на един ред JavaScript, използващ деструктуриращ синтаксис, нападателите могат да накарат работния процес да изпълнява системни команди. След като такъв работен процес бъде активиран, всяка външна страна може да задейства уеб кукичката и да изпълнява команди дистанционно.
Сериозността ескалира допълнително, когато се комбинира с функционалността на webhook на n8n, която позволява злонамерени работни потоци да бъдат публично разкрити. В такива случаи експлоатацията не изисква повишени привилегии отвъд създаването на работен поток, което подчертава риска, обобщен от изследователите като: ако създаването на работен поток е разрешено, е постижимо пълно компрометиране на сървъра.
Основна причина: Пропуски в прилагането на типове и злоупотреба по време на изпълнение
Уязвимостта произтича от пропуски в механизмите за дезинфекция на n8n и фундаментално несъответствие между системата от типове по време на компилация на TypeScript и поведението на JavaScript по време на изпълнение. Въпреки че TypeScript налага ограничения на типа по време на компилация, той не може да гарантира тези ограничения за контролирани от атакуващия стойности, въведени по време на изпълнение. Чрез предоставяне на ненизови стойности, като например обекти или масиви, атакуващите могат да заобиколят логиката за дезинфекция, която приема само низови входни данни, като по този начин ефективно неутрализират критичните контроли за сигурност.
Потенциално въздействие върху системите и данните
Успешната експлоатация може да доведе до пълно компрометиране на сървъра. Нападателите биха могли да откраднат идентификационни данни, да извлекат чувствителни данни, да получат достъп до файловата система и вътрешните услуги, да се пренасочат към свързани облачни среди и да отвлекат работни процеси с изкуствен интелект. Възможността за инсталиране на постоянни задни врати допълнително увеличава риска от дългосрочен, скрит достъп.
Засегнати версии и насоки за смекчаване на последиците
Уязвимостта засяга версии на n8n, по-ранни от изданията с актуализации, и е открита с участието на десет независими изследователи по сигурността. Засегнати са следните версии, заедно с препоръчителни междинни мерки за смекчаване, когато незабавното инсталиране на актуализации не е възможно:
Засегнати версии: n8n версии по-стари от 1.123.17 и 2.5.2, за които са публикувани корекции.
Препоръчителни мерки за смекчаване на риска: ограничете създаването и редактирането на работни процеси до напълно доверени потребители и внедрете n8n в защитена среда с ограничени привилегии на операционната система и ограничен достъп до мрежата.
Този проблем подчертава необходимостта от многопластови стратегии за валидиране. Гаранциите по време на компилация трябва да бъдат допълнени от строги проверки по време на изпълнение, особено при обработка на ненадежден вход. Прегледите на кода трябва да се фокусират върху процедурите за дезинфекция и да избягват допускания за типовете входни данни, които не се прилагат по време на изпълнение.
Допълнителни уязвимости с висока степен на сериозност на n8n
Наред с CVE-2026-25049, n8n публикува предупреждения за четири допълнителни пропуска в сигурността, два от които са оценени като критични:
CVE-2026-25053 (CVSS 9.4) : Инжектиране на команди на операционната система във възела Git, което позволява на удостоверени потребители с разрешения за работен процес да изпълняват команди или да четат произволни файлове; поправено във версии 2.5.0 и 1.123.10.
CVE-2026-25054 (CVSS 8.5) : Уязвимост, водеща до съхранено междусайтово скриптиране в компонент за рендиране на markdown, позволяваща изпълнението на скриптове с привилегии от същия произход и потенциално поемане на контрол над акаунта; поправено във версии 2.2.1 и 1.123.9.
CVE-2026-25055 (CVSS 7.1) : Проблем с преминаването на пътя в SSH възела, който може да доведе до запис на файлове на нежелани места и евентуално дистанционно изпълнение на код на целевите системи; поправено във версии 2.4.0 и 1.123.12.
CVE-2026-25056 (CVSS 9.4) : Уязвимост, позволяваща запис в произволен файл в режим на SQL заявка на възела Merge, потенциално водеща до дистанционно изпълнение на код; поправено във версии 2.4.0 и 1.118.0.
Актуализирайте спешно, за да намалите риска
Предвид обхвата и сериозността на идентифицираните уязвимости, силно се препоръчва актуализиране на n8n внедряванията до най-новите налични версии. Бързото инсталиране на корекции остава най-ефективната защита срещу експлоатация и последващо компрометиране.
