Zranitelnost CVE-2026-25049 n8n
Nově odhalená bezpečnostní zranitelnost v platformě pro automatizaci pracovních postupů n8n umožňuje za určitých podmínek libovolné spuštění systémových příkazů. Chyba je sledována jako CVE-2026-25049 a má skóre CVSS 9,4, což odráží její kritickou závažnost. Pokud bude chyba úspěšně zneužita, umožní útočníkům spouštět příkazy na úrovni systému na serveru, na kterém je hostován n8n.
Obsah
Obejití dříve opravené zranitelnosti
Chyba CVE-2026-25049 pramení z nedostatečné sanitizace, která obchází ochrany zavedené k nápravě CVE-2025-68613 (CVSS 9.9), kritické zranitelnosti opravené v prosinci 2025. Následná analýza ukázala, že novější CVE je v podstatě obcházením původní opravy, nikoli zcela odlišným problémem. Výzkumníci prokázali, že obě chyby umožňují útočníkům uniknout sandboxu výrazů n8n a obejít stávající bezpečnostní kontroly. Po dřívějším odhalení byly identifikovány a vyřešeny další slabiny ve vyhodnocování výrazů.
Předpoklady útoku a mechanika zneužití
Tuto zranitelnost může zneužít jakýkoli ověřený uživatel s oprávněním k vytváření nebo úpravě pracovních postupů. Vložením vytvořených výrazů do parametrů pracovního postupu je možné spustit nechtěné spuštění systémových příkazů. Obzvláště nebezpečný scénář zahrnuje vytvoření pracovního postupu, který zpřístupňuje veřejně přístupný webhook bez ověřování. Vložením jediného řádku JavaScriptu pomocí destrukturalizační syntaxe mohou útočníci způsobit, že pracovní postup bude provádět systémové příkazy. Jakmile je takový pracovní postup aktivován, může jakákoli externí strana spustit webhook a spustit příkazy na dálku.
Závažnost se dále zvyšuje v kombinaci s funkcí webhooku n8n, která umožňuje veřejné odhalení škodlivých pracovních postupů. V takových případech zneužití nevyžaduje zvýšená oprávnění nad rámec vytváření pracovních postupů, což podtrhuje riziko, které výzkumníci shrnuli takto: pokud je vytváření pracovních postupů povoleno, je možné dosáhnout úplného ohrožení serveru.
Hlavní příčina: Mezery ve vynucování typů a zneužívání za běhu
Zranitelnost vyplývá z mezer v mechanismech sanitizace n8n a zásadního nesouladu mezi systémem typů TypeScript během kompilace a chováním JavaScriptu za běhu. TypeScript sice během kompilace vynucuje omezení typů, ale nemůže tato omezení zaručit pro hodnoty kontrolované útočníkem zavedené za běhu. Zadáním neřetězcových hodnot, jako jsou objekty nebo pole, mohou útočníci obejít logiku sanitizace, která předpokládá pouze řetězcový vstup, a efektivně neutralizovat kritické bezpečnostní kontroly.
Potenciální dopad na systémy a data
Úspěšné zneužití může vést k úplnému ohrožení serveru. Útočníci by mohli ukrást přihlašovací údaje, odcizit citlivá data, získat přístup k souborovému systému a interním službám, přejít do propojených cloudových prostředí a zneužít pracovní postupy umělé inteligence. Možnost instalovat trvalé zadní vrátka dále zvyšuje riziko dlouhodobého, skrytého přístupu.
Dotčené verze a pokyny ke zmírnění problémů
Tato zranitelnost se týká verzí n8n starších než opravené verze a byla objevena za přispění deseti nezávislých bezpečnostních výzkumníků. Dotčeny jsou následující verze spolu s doporučenými prozatímními opatřeními pro případ, že okamžitá aktualizace není proveditelná:
Dotčené verze: verze n8n starší než 1.123.17 a 2.5.2, u kterých byly vydány opravy.
Doporučená zmírnění rizik: omezte vytváření a úpravy pracovních postupů na plně důvěryhodné uživatele a nasaďte n8n v zesíleném prostředí s omezenými oprávněními operačního systému a omezeným přístupem k síti.
Tento problém zdůrazňuje nutnost strategií vrstvené validace. Garance za běhu kompilace musí být doplněny přísnými kontrolami za běhu, zejména při zpracování nedůvěryhodného vstupu. Revize kódu by se měly zaměřit na rutiny sanitizace a vyhnout se předpokladům o typech vstupů, které nejsou za běhu vynucovány.
Další vysoce závažné zranitelnosti n8n
Spolu s chybou CVE-2026-25049 zveřejnila společnost n8n upozornění na čtyři další bezpečnostní chyby, z nichž dvě jsou označeny jako kritické:
CVE-2026-25053 (CVSS 9.4) : Vkládání příkazů operačního systému do uzlu Git, které umožňuje ověřeným uživatelům s oprávněními pro pracovní postup spouštět příkazy nebo číst libovolné soubory; opraveno ve verzích 2.5.0 a 1.123.10.
CVE-2026-25054 (CVSS 8.5) : Zranitelnost umožňující uložené cross-site scripting v komponentě pro vykreslování Markdown, která umožňovala spouštění skriptů s oprávněními stejného původu a potenciálně převzetí kontroly nad účtem; opraveno ve verzích 2.2.1 a 1.123.9.
CVE-2026-25055 (CVSS 7.1) : Problém s procházením cesty v uzlu SSH, který může vést k zápisům souborů do nezamýšlených umístění a možnému vzdálenému spuštění kódu na cílových systémech; opraveno ve verzích 2.4.0 a 1.123.12.
CVE-2026-25056 (CVSS 9.4) : Zranitelnost umožňující zápis do libovolného souboru v režimu SQL dotazu uzlu Merge, která mohla vést ke vzdálenému spuštění kódu; opraveno ve verzích 2.4.0 a 1.118.0.
Naléhavě aktualizujte, abyste snížili riziko
Vzhledem k rozsahu a závažnosti identifikovaných zranitelností se důrazně doporučuje aktualizace nasazení n8n na nejnovější dostupné verze. Nejúčinnější obranou proti zneužití a následnému ohrožení zůstává rychlá instalace záplat.
