פגיעות n8n של CVE-2026-25049
פגיעות אבטחה שנחשפה לאחרונה בפלטפורמת אוטומציה של זרימת העבודה n8n מאפשרת ביצוע פקודות מערכת שרירותיות בתנאים מסוימים. הפגם מסומן כ-CVE-2026-25049 ונושאת ציון CVSS של 9.4, המשקף את חומרתה הקריטית. אם הבעיה תנוצל בהצלחה, היא תאפשר לתוקפים לבצע פקודות ברמת המערכת בשרת המארח את n8n.
תוכן העניינים
עקיפת פגיעות שתוקנה בעבר
CVE-2026-25049 נובע מטיפוס לא מספק של ניקוי, שעוקף הגנות שהוצגו כדי לתקן את CVE-2025-68613 (CVSS 9.9), פגיעות קריטית שתוקנה בדצמבר 2025. ניתוח מאוחר יותר הראה כי ה-CVE החדש יותר הוא למעשה עקיפת התיקון המקורי ולא בעיה נפרדת לחלוטין. חוקרים הוכיחו ששתי הפגמים מאפשרים לתוקפים להימלט מארגז החול של ביטויים של n8n ולעקוף בדיקות אבטחה קיימות. בעקבות הגילוי הקודם, זוהו וטופלו גם חולשות נוספות בהערכת ביטויים.
דרישות מוקדמות להתקפה ומכניקת ניצול
כל משתמש מאומת בעל הרשאה ליצור או לשנות זרימות עבודה יכול לנצל את הפגיעות. על ידי הזרקת ביטויים בעלי מבנה לפרמטרי זרימת עבודה, ניתן להפעיל ביצוע לא מכוון של פקודות מערכת. תרחיש מסוכן במיוחד כרוך ביצירת זרימת עבודה שחושפת webhook נגיש לציבור ללא אימות. על ידי הטמעת שורה אחת של JavaScript באמצעות תחביר destructuring, תוקפים יכולים לגרום לזרימת העבודה לבצע פקודות מערכת. לאחר הפעלת זרימת עבודה כזו, כל צד חיצוני יכול להפעיל את ה-webhook ולבצע פקודות מרחוק.
החומרה מחריפה עוד יותר כאשר היא משולבת עם פונקציונליות ה-webhook של n8n, המאפשרת לחשוף זרימות עבודה זדוניות באופן פומבי. במקרים כאלה, ניצול לרעה אינו דורש הרשאות מוגברות מעבר ליצירת זרימת עבודה, מה שמדגיש את הסיכון שסיכמו החוקרים כ: אם יצירת זרימת עבודה מותרת, פגיעה מלאה בשרת אפשרית.
שורש הבעיה: פערים באכיפת סוגים וניצול לרעה בזמן ריצה
הפגיעות נובעת מפערים במנגנוני החיטוי של n8n ומחוסר התאמה מהותי בין מערכת הטיפוסים בזמן הקומפילציה של TypeScript לבין התנהגות זמן הריצה של JavaScript. בעוד ש-TypeScript אוכף אילוצי טיפוס במהלך הקומפילציה, הוא אינו יכול להבטיח אילוצים אלה עבור ערכים הנשלטים על ידי תוקף המוכנסים בזמן הריצה. על ידי אספקת ערכים שאינם מחרוזות כגון אובייקטים או מערכים, תוקפים יכולים לעקוף לוגיקת חיטוי המניחה קלט של מחרוזות בלבד, ובכך לנטרל ביעילות בקרות אבטחה קריטיות.
השפעה פוטנציאלית על מערכות ונתונים
ניצול מוצלח של השרת עלול להוביל לפגיעה מלאה. תוקפים עלולים לגנוב אישורים, להסתנן למידע רגיש, לגשת למערכת הקבצים ולשירותים פנימיים, לעבור לסביבות ענן מחוברות ולחטוף זרימות עבודה של בינה מלאכותית. היכולת להתקין דלתות אחוריות מתמשכות מגדילה עוד יותר את הסיכון לגישה סמויה וארוכת טווח.
גרסאות מושפעות והנחיות לפתרון הבעיה
הפגיעות משפיעה על גרסאות n8n מוקדמות יותר מהמהדורות המעודכנות והתגלתה באמצעות תרומות של עשרה חוקרי אבטחה עצמאיים. הגרסאות הבאות מושפעות, יחד עם אמצעי הקלה זמניים מומלצים כאשר תיקון מיידי אינו אפשרי:
גרסאות מושפעות: גרסאות n8n קודמות מ-1.123.17 ו-2.5.2, בהן פורסמו תיקונים.
אמצעי הפחתה מומלצים: הגבלת יצירה ועריכה של זרימת עבודה למשתמשים מהימנים לחלוטין, ופריסה של n8n בסביבה מוקשחת עם הרשאות מערכת הפעלה מוגבלות וגישה מוגבלת לרשת.
בעיה זו מדגישה את הצורך באסטרטגיות אימות רב-שכבתיות. ערבויות בזמן קומפילציה חייבות להיות משלימות בבדיקות זמן ריצה קפדניות, במיוחד בעת טיפול בקלט לא אמין. סקירות קוד צריכות להתמקד בשגרות ניקוי ולהימנע מהנחות לגבי סוגי קלט שאינן נאכפות בזמן ריצה.
פגיעויות n8n נוספות בדרגת חומרה גבוהה
לצד CVE-2026-25049, n8n פרסמה הנחיות לגבי ארבעה פרצות אבטחה נוספות, שתיים מהן מדורגות קריטיות:
CVE-2026-25053 (CVSS 9.4) : הזרקת פקודות של מערכת ההפעלה בצומת Git, המאפשרת למשתמשים מאומתים עם הרשאות זרימת עבודה לבצע פקודות או לקרוא קבצים שרירותיים; תוקן בגרסאות 2.5.0 ו-1.123.10.
CVE-2026-25054 (CVSS 8.5) : פגיעות של סקריפטים בין אתרים אוחסנה ברכיב רינדור markdown, המאפשרת ביצוע סקריפטים עם הרשאות מאותו מקור ואפשרות להשתלטות על חשבון; תוקן בגרסאות 2.2.1 ו-1.123.9.
CVE-2026-25055 (CVSS 7.1) : בעיית חציית נתיבים בצומת SSH שעלולה להוביל לכתיבת קבצים במיקומים לא מכוונים ולאפשרות של ביצוע קוד מרחוק במערכות היעד; תוקן בגרסאות 2.4.0 ו-1.123.12.
CVE-2026-25056 (CVSS 9.4) : פגיעות של כתיבת קבצים שרירותית במצב שאילתת SQL של צומת המיזוג, שעלולה לגרום לביצוע קוד מרחוק; תוקנה בגרסאות 2.4.0 ו-1.118.0.
עדכן בדחיפות כדי להפחית את הסיכון
בהתחשב בהיקף ובחומרת הפגיעויות שזוהו, מומלץ מאוד לעדכן את פריסות n8n לגרסאות הזמינות העדכניות ביותר. תיקון מהיר נותר ההגנה היעילה ביותר מפני ניצול לרעה ופגיעה לאחר מכן.
