CVE-2026-25049 n8n भेद्यता

n8n वर्कफ़्लो ऑटोमेशन प्लेटफ़ॉर्म में हाल ही में सामने आई एक सुरक्षा खामी के कारण कुछ खास परिस्थितियों में सिस्टम कमांड को मनमाने ढंग से निष्पादित किया जा सकता है। इस खामी को CVE-2026-25049 के रूप में चिह्नित किया गया है और इसका CVSS स्कोर 9.4 है, जो इसकी गंभीर स्थिति को दर्शाता है। यदि इसका सफलतापूर्वक फायदा उठाया जाता है, तो हमलावर n8n होस्ट करने वाले सर्वर पर सिस्टम-स्तरीय कमांड निष्पादित कर सकते हैं।

पहले से ठीक की गई भेद्यता को दरकिनार करना

CVE-2026-25049 अपर्याप्त सैनिटाइजेशन से उत्पन्न हुआ है, जो CVE-2025-68613 (CVSS 9.9) को ठीक करने के लिए लागू की गई सुरक्षा व्यवस्थाओं को दरकिनार कर देता है। CVE-2025-68613 एक गंभीर भेद्यता है जिसे दिसंबर 2025 में पैच किया गया था। बाद के विश्लेषण से पता चला है कि नया CVE प्रभावी रूप से मूल समाधान को दरकिनार करने का एक तरीका है, न कि पूरी तरह से एक अलग समस्या। शोधकर्ताओं ने प्रदर्शित किया है कि दोनों खामियां हमलावरों को n8n के एक्सप्रेशन सैंडबॉक्स से बाहर निकलने और मौजूदा सुरक्षा जांचों को दरकिनार करने की अनुमति देती हैं। पहले के खुलासे के बाद, एक्सप्रेशन मूल्यांकन में अतिरिक्त कमजोरियों की भी पहचान की गई और उन्हें ठीक किया गया।

हमले की पूर्व शर्तें और शोषण की कार्यप्रणाली

वर्कफ़्लो बनाने या संशोधित करने की अनुमति प्राप्त कोई भी प्रमाणित उपयोगकर्ता इस भेद्यता का लाभ उठा सकता है। वर्कफ़्लो पैरामीटर में विशेष रूप से तैयार किए गए एक्सप्रेशन डालकर, अनपेक्षित सिस्टम कमांड निष्पादन को ट्रिगर करना संभव हो जाता है। एक विशेष रूप से खतरनाक स्थिति वह है जिसमें बिना प्रमाणीकरण के सार्वजनिक रूप से सुलभ वेबहुक को उजागर करने वाला वर्कफ़्लो बनाया जाता है। डिस्ट्रक्चरिंग सिंटैक्स का उपयोग करके जावास्क्रिप्ट की एक पंक्ति को एम्बेड करके, हमलावर वर्कफ़्लो को सिस्टम कमांड निष्पादित करने के लिए प्रेरित कर सकते हैं। एक बार ऐसा वर्कफ़्लो सक्रिय हो जाने पर, कोई भी बाहरी पक्ष वेबहुक को ट्रिगर कर सकता है और दूरस्थ रूप से कमांड निष्पादित कर सकता है।

n8n की वेबहुक कार्यक्षमता के साथ मिलकर यह समस्या और भी गंभीर हो जाती है, क्योंकि इससे दुर्भावनापूर्ण वर्कफ़्लो सार्वजनिक रूप से उजागर हो जाते हैं। ऐसे मामलों में, शोषण के लिए वर्कफ़्लो निर्माण से अधिक विशेषाधिकारों की आवश्यकता नहीं होती है, जो शोधकर्ताओं द्वारा संक्षेप में बताए गए जोखिम को रेखांकित करता है: यदि वर्कफ़्लो निर्माण की अनुमति दी जाती है, तो पूरे सर्वर को हैक किया जा सकता है।

मूल कारण: टाइप एन्फोर्समेंट में कमियां और रनटाइम का दुरुपयोग

यह खामी n8n के सैनिटाइजेशन तंत्र में खामियों और TypeScript के कंपाइल-टाइम टाइप सिस्टम तथा JavaScript के रनटाइम व्यवहार के बीच मूलभूत असंगति के कारण उत्पन्न होती है। TypeScript कंपाइलेशन के दौरान टाइप कंस्ट्रेंट लागू करता है, लेकिन रनटाइम पर हमलावरों द्वारा नियंत्रित किए गए मानों के लिए इन कंस्ट्रेंट की गारंटी नहीं दे सकता। ऑब्जेक्ट या एरे जैसे गैर-स्ट्रिंग मान प्रदान करके, हमलावर उस सैनिटाइजेशन लॉजिक को बायपास कर सकते हैं जो केवल स्ट्रिंग इनपुट मानता है, जिससे महत्वपूर्ण सुरक्षा नियंत्रण प्रभावी रूप से निष्क्रिय हो जाते हैं।

सिस्टम और डेटा पर संभावित प्रभाव

सफल हमले से सर्वर पूरी तरह से असुरक्षित हो सकता है। हमलावर क्रेडेंशियल्स चुरा सकते हैं, संवेदनशील डेटा निकाल सकते हैं, फाइल सिस्टम और आंतरिक सेवाओं तक पहुंच सकते हैं, कनेक्टेड क्लाउड वातावरण में जा सकते हैं और आर्टिफिशियल इंटेलिजेंस वर्कफ़्लो को हाईजैक कर सकते हैं। स्थायी बैकडोर स्थापित करने की क्षमता से दीर्घकालिक, गुप्त पहुंच का खतरा और भी बढ़ जाता है।

प्रभावित संस्करण और निवारण संबंधी दिशानिर्देश

यह भेद्यता पैच किए गए रिलीज़ से पहले के n8n संस्करणों को प्रभावित करती है और इसे दस स्वतंत्र सुरक्षा शोधकर्ताओं के योगदान से खोजा गया था। निम्नलिखित संस्करण प्रभावित हैं, साथ ही तत्काल पैचिंग संभव न होने पर अनुशंसित अंतरिम समाधान भी दिए गए हैं:

प्रभावित संस्करण: n8n के 1.123.17 और 2.5.2 से पहले के संस्करण, जिनमें सुधार जारी किए जा चुके हैं।

सुझाए गए उपाय: वर्कफ़्लो निर्माण और संपादन को पूरी तरह से विश्वसनीय उपयोगकर्ताओं तक सीमित करें, और सीमित ऑपरेटिंग सिस्टम विशेषाधिकारों और सीमित नेटवर्क पहुंच के साथ एक मजबूत वातावरण में n8n को तैनात करें।

यह मुद्दा स्तरित सत्यापन रणनीतियों की आवश्यकता को उजागर करता है। संकलन-समय की गारंटी को सख्त रनटाइम जांचों द्वारा पूरक किया जाना चाहिए, विशेष रूप से अविश्वसनीय इनपुट को संभालते समय। कोड समीक्षाओं को सैनिटाइजेशन रूटीन पर ध्यान केंद्रित करना चाहिए और इनपुट प्रकारों के बारे में उन धारणाओं से बचना चाहिए जिन्हें रनटाइम पर लागू नहीं किया जाता है।

अतिरिक्त उच्च-गंभीरता वाली n8n कमजोरियाँ

CVE-2026-25049 के साथ-साथ, n8n ने चार अतिरिक्त सुरक्षा खामियों के लिए सलाह जारी की है, जिनमें से दो को गंभीर श्रेणी में रखा गया है:

CVE-2026-25053 (CVSS 9.4) : Git नोड में ऑपरेटिंग सिस्टम कमांड इंजेक्शन, वर्कफ़्लो अनुमतियों वाले प्रमाणित उपयोगकर्ताओं को कमांड निष्पादित करने या मनमानी फ़ाइलों को पढ़ने की अनुमति देता है; संस्करण 2.5.0 और 1.123.10 में ठीक किया गया।

CVE-2026-25054 (CVSS 8.5) : मार्कडाउन रेंडरिंग घटक में संग्रहीत क्रॉस-साइट स्क्रिप्टिंग भेद्यता, समान-मूल विशेषाधिकारों के साथ स्क्रिप्ट निष्पादन और संभावित खाता अधिग्रहण को सक्षम करती है; संस्करण 2.2.1 और 1.123.9 में ठीक किया गया।

CVE-2026-25055 (CVSS 7.1) : SSH नोड में पथ ट्रैवर्सल समस्या जिसके कारण अनपेक्षित स्थानों पर फ़ाइल लेखन और लक्ष्य सिस्टम पर संभावित रिमोट कोड निष्पादन हो सकता है; संस्करण 2.4.0 और 1.123.12 में ठीक किया गया।

CVE-2026-25056 (CVSS 9.4) : मर्ज नोड के SQL क्वेरी मोड में आर्बिट्रेरी फ़ाइल राइट वल्नरेबिलिटी, जिसके परिणामस्वरूप रिमोट कोड निष्पादन हो सकता है; संस्करण 2.4.0 और 1.118.0 में ठीक किया गया।

जोखिम को कम करने के लिए तत्काल अपडेट करें

पहचानी गई कमजोरियों की व्यापकता और गंभीरता को देखते हुए, n8n डिप्लॉयमेंट को नवीनतम उपलब्ध संस्करणों में अपडेट करने की पुरजोर सलाह दी जाती है। शीघ्र पैचिंग शोषण और उसके बाद होने वाले नुकसान से बचाव का सबसे प्रभावी तरीका है।