CVE-2026-25049 n8n-haavoittuvuus
n8n-työnkulun automaatioalustassa on äskettäin paljastunut tietoturvahaavoittuvuus, joka mahdollistaa mielivaltaisten järjestelmäkomentojen suorittamisen tietyissä olosuhteissa. Haavoittuvuus on tunnistettu numerolla CVE-2026-25049 ja sen CVSS-pistemäärä on 9,4, mikä heijastaa sen kriittistä vakavuutta. Jos ongelmaa hyödynnetään onnistuneesti, hyökkääjät voivat suorittaa järjestelmätason komentoja n8n:ää isännöivässä palvelimessa.
Sisällysluettelo
Aiemmin korjatun haavoittuvuuden ohittaminen
CVE-2026-25049 johtuu riittämättömästä puhdistusprosessista, joka ohittaa CVE-2025-68613:n (CVSS 9.9) korjaamiseksi käyttöön otetut suojaukset. Kyseessä on kriittinen haavoittuvuus, joka korjattiin joulukuussa 2025. Myöhemmät analyysit ovat osoittaneet, että uudempi CVE on käytännössä ohitus alkuperäisestä korjauksesta eikä täysin erillinen ongelma. Tutkijat ovat osoittaneet, että molemmat puutteet antavat hyökkääjille mahdollisuuden paeta n8n:n ilmaisujen hiekkalaatikkoa ja kiertää olemassa olevia tietoturvatarkistuksia. Aiemman paljastuksen jälkeen havaittiin ja korjattiin myös muita heikkouksia ilmaisujen arvioinnissa.
Hyökkäyksen edellytykset ja hyväksikäyttömekaniikka
Kuka tahansa todennettu käyttäjä, jolla on oikeudet luoda tai muokata työnkulkuja, voi hyödyntää haavoittuvuutta. Lisäämällä työnkulun parametreihin muokattuja lausekkeita on mahdollista laukaista tahaton järjestelmäkomentojen suorittaminen. Erityisen vaarallinen skenaario on työnkulun luominen, joka paljastaa julkisesti saatavilla olevan webhookin ilman todennusta. Upottamalla yhden rivin JavaScript-koodia destruktiivista syntaksia käyttäen hyökkääjät voivat saada työnkulun suorittamaan järjestelmäkomentoja. Kun tällainen työnkulku on aktivoitu, kuka tahansa ulkopuolinen osapuoli voi laukaista webhookin ja suorittaa komentoja etänä.
Vakavuus kasvaa entisestään, kun se yhdistetään n8n:n webhook-toiminnallisuuteen, joka mahdollistaa haitallisten työnkulkujen paljastamisen julkisesti. Tällaisissa tapauksissa hyväksikäyttö ei vaadi työnkulun luomista pidemmälle meneviä oikeuksia, mikä korostaa tutkijoiden tiivistämää riskiä seuraavasti: jos työnkulun luominen on sallittu, palvelimen täydellinen vaarantuminen on mahdollista.
Perimmäinen syy: Tyypinvalvontapuutteet ja ajonaikainen väärinkäyttö
Haavoittuvuus johtuu n8n:n puhdistusmekanismien aukoista ja perustavanlaatuisesta ristiriidasta TypeScriptin käännösaikaisen tyyppijärjestelmän ja JavaScriptin suorituksenaikaisen toiminnan välillä. Vaikka TypeScript käyttää tyyppirajoituksia käännöksen aikana, se ei voi taata näitä rajoituksia hyökkääjän hallitsemille, suorituksen aikana lisätyille arvoille. Antamalla ei-merkkijonoarvoja, kuten objekteja tai taulukoita, hyökkääjät voivat ohittaa puhdistuslogiikan, joka olettaa pelkkiä merkkijonoja, mikä tehokkaasti neutraloi kriittiset tietoturvakontrollit.
Mahdollinen vaikutus järjestelmiin ja dataan
Onnistunut hyväksikäyttö voi johtaa palvelimen täydelliseen vaarantumiseen. Hyökkääjät voivat varastaa tunnistetiedot, vuotaa arkaluonteisia tietoja, käyttää tiedostojärjestelmää ja sisäisiä palveluita, siirtyä yhdistettyihin pilviympäristöihin ja kaapata tekoälytyönkulkuja. Mahdollisuus asentaa pysyviä takaportteja lisää entisestään pitkäaikaisen, salaisen pääsyn riskiä.
Vaikutusalttiit versiot ja ohjeet ongelmien lieventämiseen
Haavoittuvuus vaikuttaa n8n-versioihin, jotka ovat vanhempia kuin korjatut julkaisut, ja se löydettiin kymmenen riippumattoman tietoturvatutkijan avulla. Seuraavat versiot ovat haavoittuvia, ja niihin suositellaan väliaikaisia korjaustoimenpiteitä, kun välitön korjaus ei ole mahdollinen:
Vaikuttavat versiot: n8n-versiot, jotka ovat aiempia kuin 1.123.17 ja 2.5.2, joihin on julkaistu korjauksia.
Suositellut lieventävät toimet: rajoita työnkulun luominen ja muokkaaminen täysin luotettaville käyttäjille ja ota n8n käyttöön suojatussa ympäristössä, jossa on rajoitetut käyttöjärjestelmäoikeudet ja rajoitettu verkkoyhteys.
Tämä ongelma korostaa kerrostettujen validointistrategioiden tarvetta. Käännösaikaisia takuita on täydennettävä tiukoilla ajonaikaisilla tarkistuksilla, erityisesti käsiteltäessä epäluotettavaa syötettä. Koodin tarkistusten tulisi keskittyä puhdistusrutiineihin ja välttää oletuksia syötetyypeistä, joita ei valvota ajonaikana.
Muita vakavia n8n-haavoittuvuuksia
CVE-2026-25049:n lisäksi n8n on julkaissut tiedotteet neljästä muusta tietoturva-aukosta, joista kaksi on luokiteltu kriittisiksi:
CVE-2026-25053 (CVSS 9.4) : Käyttöjärjestelmän komentojen injektointi Git-solmuun, jonka avulla todennetut käyttäjät, joilla on työnkulkuoikeudet, voivat suorittaa komentoja tai lukea mielivaltaisia tiedostoja; korjattu versioissa 2.5.0 ja 1.123.10.
CVE-2026-25054 (CVSS 8.5) : Markdown-renderöintikomponentissa oli tallennettu sivustojenvälinen komentosarjojen suorittamisen haavoittuvuus, joka mahdollisti komentosarjojen suorittamisen saman alkuperän oikeuksilla ja mahdollisen tilin kaappauksen; korjattu versioissa 2.2.1 ja 1.123.9.
CVE-2026-25055 (CVSS 7.1) : SSH-solmun polun läpikulkuongelma, joka voi johtaa tiedostojen kirjoittamiseen ei-toivottuihin paikkoihin ja mahdolliseen koodin suorittamiseen etänä kohdejärjestelmissä; korjattu versioissa 2.4.0 ja 1.123.12.
CVE-2026-25056 (CVSS 9.4) : Merge-solmun SQL-kyselytilassa oleva mielivaltaisen tiedoston kirjoitushaavoittuvuus, joka voi johtaa koodin etäsuorittamiseen; korjattu versioissa 2.4.0 ja 1.118.0.
Päivitä kiireellisesti riskin vähentämiseksi
Tunnistettujen haavoittuvuuksien laajuuden ja vakavuuden vuoksi n8n-asennusten päivittämistä uusimpiin saatavilla oleviin versioihin suositellaan vahvasti. Nopea korjausten asentaminen on edelleen tehokkain puolustus hyväksikäyttöä ja sitä seuraavaa vaarantumista vastaan.
