CVE-2026-25049 n8n haavatavus
Äsja avalikustatud turvanõrkus n8n töövoo automatiseerimise platvormil võimaldab teatud tingimustel suvalisi süsteemikäske täita. Vea tunnus on CVE-2026-25049 ja selle CVSS-skoor on 9,4, mis peegeldab selle kriitilist tõsidust. Eduka ärakasutamise korral võimaldab probleem ründajatel n8n-i majutaval serveril süsteemitasemel käske täita.
Sisukord
Varem parandatud haavatavuse möödahiilimine
CVE-2026-25049 tuleneb ebapiisavast puhastamisest, mis möödub kaitsemeetmetest, mis kehtestati CVE-2025-68613 (CVSS 9.9) parandamiseks. See kriitiline haavatavus parandati 2025. aasta detsembris. Hilisem analüüs on näidanud, et uuem CVE on sisuliselt algse paranduse möödahiilimine, mitte täiesti eraldiseisev probleem. Teadlased on näidanud, et mõlemad vead võimaldavad ründajatel pääseda n8n-i avaldiste liivakastist ja mööda hiilida olemasolevatest turvakontrollidest. Pärast varasemat avalikustamist tuvastati ja parandati ka täiendavaid nõrkusi avaldiste hindamises.
Rünnaku eeldused ja ärakasutamise mehaanika
Iga autentitud kasutaja, kellel on luba töövooge luua või muuta, saab seda haavatavust ära kasutada. Töövoo parameetritesse loodud avaldiste sisestamine muudab võimalikuks tahtmatu süsteemikäskude täitmise. Eriti ohtlik stsenaarium hõlmab töövoo loomist, mis paljastab avalikult ligipääsetava veebikonksu ilma autentimiseta. Ühe JavaScripti rea manustamisega, kasutades destruktiivset süntaksit, saavad ründajad panna töövoo süsteemikäske täitma. Kui selline töövoog on aktiveeritud, saab iga väline osapool veebikonksu käivitada ja käske eemalt täita.
Tõsidusus suureneb veelgi, kui seda kombineerida n8n-i veebikonksu funktsionaalsusega, mis võimaldab pahatahtlikke töövooge avalikult paljastada. Sellistel juhtudel ei nõua ärakasutamine töövoogude loomisest kõrgemaid õigusi, mis rõhutab teadlaste poolt kokkuvõtlikult esitatud riski järgmiselt: kui töövoogude loomine on lubatud, on serveri täielik kompromiteerimine saavutatav.
Põhjus: tüübi jõustamise lüngad ja käitusaja kuritarvitamine
See haavatavus tuleneb n8n-i puhastusmehhanismide lünkadest ja TypeScripti kompileerimisaegse tüübisüsteemi ja JavaScripti käitusaegse käitumise põhimõttelisest vastuolulisusest. Kuigi TypeScript jõustab kompileerimise ajal tüübipiiranguid, ei saa see garanteerida nende piirangute järgimist ründaja kontrolli all olevate väärtuste puhul, mis käivitamisel lisatakse. Mittestringväärtuste (nt objektide või massiivide) esitamisega saavad ründajad mööda hiilida puhastusloogikast, mis eeldab ainult stringi sisendit, neutraliseerides seeläbi kriitilised turvakontrollid.
Võimalik mõju süsteemidele ja andmetele
Edukas ärakasutamine võib viia serveri täieliku ohtu sattumiseni. Ründajad saavad varastada volitusi, hankida tundlikke andmeid, pääseda juurde failisüsteemile ja sisemistele teenustele, pöörduda ümber ühendatud pilvekeskkondadesse ning kaaperdada tehisintellekti töövooge. Püsivate tagauste paigaldamise võimalus suurendab veelgi pikaajalise varjatud juurdepääsu ohtu.
Mõjutatud versioonid ja leevendusjuhised
See haavatavus mõjutab n8n versioone, mis on vanemad kui parandatud versioonid, ja see avastati kümne sõltumatu turvauurija panuse abil. Mõjutatud on järgmised versioonid koos soovitatud ajutiste leevendusmeetmetega, kui kohene parandamine pole teostatav:
Mõjutatud versioonid: n8n versioonid, mis on vanemad kui 1.123.17 ja 2.5.2, mille puhul on välja antud parandused.
Soovitatavad leevendusmeetmed: piira töövoogude loomist ja redigeerimist täielikult usaldusväärsete kasutajatega ning juuruta n8n tugevdatud keskkonnas, kus on piiratud operatsioonisüsteemi õigused ja piiratud juurdepääs võrgule.
See probleem rõhutab kihiliste valideerimisstrateegiate vajalikkust. Kompileerimisaegseid garantiisid peavad täiendama ranged käitusaja kontrollid, eriti ebausaldusväärse sisendi käsitlemisel. Koodiülevaated peaksid keskenduma puhastamise rutiinidele ja vältima eeldusi sisenditüüpide kohta, mida käitusajal ei rakendata.
Täiendavad kõrge tõsidusega n8n haavatavused
Lisaks CVE-2026-25049-le on n8n avaldanud teated veel nelja turvavea kohta, millest kaks on hinnatud kriitiliseks:
CVE-2026-25053 (CVSS 9.4) : Operatsioonisüsteemi käskude süstimine Giti sõlme, mis võimaldab autentitud kasutajatel, kellel on töövoo õigused, käske täita või suvalisi faile lugeda; parandatud versioonides 2.5.0 ja 1.123.10.
CVE-2026-25054 (CVSS 8.5) : Markdowni renderduskomponendis salvestatud saidiülene skriptimise haavatavus, mis võimaldas skriptide käivitamist sama päritoluga õigustega ja potentsiaalset konto ülevõtmist; parandatud versioonides 2.2.1 ja 1.123.9.
CVE-2026-25055 (CVSS 7.1) : SSH-sõlme teekonna läbimise probleem, mis võib viia failide kirjutamiseni ettenägematutesse asukohtadesse ja võimaliku koodi kaugkäivitamiseni sihtsüsteemides; parandatud versioonides 2.4.0 ja 1.123.12.
CVE-2026-25056 (CVSS 9.4) : Suvalise failikirjutamise haavatavus ühendamissõlme SQL-päringu režiimis, mis võib põhjustada koodi kaugkäivitamise; parandatud versioonides 2.4.0 ja 1.118.0.
Riski vähendamiseks värskendage kiiresti
Arvestades tuvastatud haavatavuste ulatust ja tõsidust, on tungivalt soovitatav värskendada n8n juurutusi uusimatele saadaolevatele versioonidele. Kiire paranduste paigaldamine on endiselt kõige tõhusam kaitse ärakasutamise ja järgneva ohtude eest.
