CVE-2026-25049 n8n 취약점

n8n 워크플로 자동화 플랫폼에서 새롭게 발견된 보안 취약점으로 인해 특정 조건 하에서 임의의 시스템 명령을 실행할 수 있습니다. 이 취약점은 CVE-2026-25049로 추적되며, 심각도 등급은 CVSS 9.4로 매우 높은 수준입니다. 이 취약점을 성공적으로 악용할 경우, 공격자는 n8n을 호스팅하는 서버에서 시스템 수준 명령을 실행할 수 있습니다.

이전에 패치된 취약점을 우회하는 방법

CVE-2026-25049는 2025년 12월에 패치된 심각한 취약점인 CVE-2025-68613(CVSS 9.9)을 해결하기 위해 도입된 보호 조치를 우회하는 불충분한 검증 과정에서 비롯됩니다. 후속 분석 결과, 새로운 CVE는 완전히 별개의 문제가 아니라 기존 수정 사항을 사실상 우회하는 것으로 밝혀졌습니다. 연구원들은 두 가지 결함 모두 공격자가 n8n의 표현식 샌드박스를 우회하고 기존 보안 검사를 무력화할 수 있도록 허용한다는 것을 입증했습니다. 앞서 공개된 취약점 이후, 표현식 평가에서 추가적인 취약점도 발견되어 수정되었습니다.

공격 전제 조건 및 악용 메커니즘

워크플로를 생성하거나 수정할 권한이 있는 인증된 사용자는 누구나 이 취약점을 악용할 수 있습니다. 조작된 표현식을 워크플로 매개변수에 삽입하면 의도치 않은 시스템 명령 실행을 유발할 수 있습니다. 특히 위험한 시나리오는 인증 없이 공개적으로 접근 가능한 웹훅을 노출하는 워크플로를 생성하는 것입니다. 공격자는 구조 분해 할당 구문을 사용하여 JavaScript 코드 한 줄을 삽입하는 것만으로도 워크플로가 시스템 명령을 실행하도록 만들 수 있습니다. 이러한 워크플로가 활성화되면 외부에서 누구나 웹훅을 트리거하고 원격으로 명령을 실행할 수 있습니다.

n8n의 웹훅 기능과 결합될 경우 심각성은 더욱 커지는데, 이 기능은 악의적인 워크플로우를 공개적으로 노출시킬 수 있기 때문입니다. 이러한 경우, 워크플로우 생성 외에 추가적인 권한 상승이 필요하지 않으므로, 연구원들이 요약한 바와 같이 워크플로우 생성이 허용된다면 서버 전체를 장악할 수 있다는 위험성을 분명히 보여줍니다.

근본 원인: 타입 강제 적용의 허점 및 런타임 남용

이 취약점은 n8n의 검증 메커니즘의 허점과 TypeScript의 컴파일 타임 타입 시스템과 JavaScript의 런타임 동작 간의 근본적인 불일치에서 비롯됩니다. TypeScript는 컴파일 시 타입 제약을 적용하지만, 런타임에 공격자가 제어하는 값에 대해서는 이러한 제약을 보장할 수 없습니다. 공격자는 객체나 배열과 같은 문자열이 아닌 값을 제공함으로써 문자열 입력만 가정하는 검증 로직을 우회하여 핵심 보안 제어를 무력화할 수 있습니다.

시스템 및 데이터에 미칠 수 있는 잠재적 영향

공격이 성공하면 서버 전체가 장악될 수 있습니다. 공격자는 자격 증명을 탈취하고, 민감한 데이터를 유출하고, 파일 시스템 및 내부 서비스에 접근하고, 연결된 클라우드 환경으로 침투하고, 인공지능 워크플로를 탈취할 수 있습니다. 영구적인 백도어를 설치할 수 있다는 점은 장기간에 걸친 은밀한 접근 위험을 더욱 증가시킵니다.

영향을 받는 버전 및 완화 지침

이 취약점은 패치된 릴리스 이전 버전의 n8n에 영향을 미치며, 10명의 독립적인 보안 연구원의 기여로 발견되었습니다. 다음 버전들이 영향을 받으며, 즉시 패치가 불가능한 경우 권장되는 임시 완화 조치는 다음과 같습니다.

영향을 받는 버전: n8n 버전 1.123.17 이전 및 2.5.2 이전 버전(해결책이 배포됨).

권장 완화 조치: 워크플로 생성 및 편집 권한을 완전히 신뢰하는 사용자로 제한하고, 운영 체제 권한 및 네트워크 액세스가 제한된 강화된 환경에 n8n을 배포하십시오.

이 문제는 계층화된 유효성 검사 전략의 필요성을 강조합니다. 컴파일 타임 보장은 특히 신뢰할 수 없는 입력을 처리할 때 엄격한 런타임 검사로 보완되어야 합니다. 코드 검토는 검증 루틴에 집중하고 런타임에 강제되지 않는 입력 유형에 대한 가정을 피해야 합니다.

추가적인 고위험 n8n 취약점

n8n은 CVE-2026-25049와 더불어 4개의 추가 보안 취약점에 대한 권고를 발표했으며, 이 중 2개는 심각한 수준으로 평가됩니다.

CVE-2026-25053 (CVSS 9.4) : Git 노드에서 운영 체제 명령 주입 취약점이 발견되었습니다. 워크플로 권한이 있는 인증된 사용자가 명령을 실행하거나 임의의 파일을 읽을 수 있습니다. 이 취약점은 버전 2.5.0 및 1.123.10에서 수정되었습니다.

CVE-2026-25054 (CVSS 8.5) : 마크다운 렌더링 구성 요소에 저장된 크로스 사이트 스크립팅 취약점이 있어 동일 출처 권한으로 스크립트를 실행하고 계정을 탈취할 가능성이 있습니다. 이 취약점은 버전 2.2.1 및 1.123.9에서 수정되었습니다.

CVE-2026-25055 (CVSS 7.1) : SSH 노드에서 경로 탐색 문제가 발생하여 의도하지 않은 위치에 파일이 기록되고 대상 시스템에서 원격 코드 실행이 발생할 수 있습니다. 이 문제는 버전 2.4.0 및 1.123.12에서 수정되었습니다.

CVE-2026-25056 (CVSS 9.4) : Merge 노드의 SQL 쿼리 모드에서 임의 파일 쓰기 취약점이 발견되었으며, 이로 인해 원격 코드 실행이 발생할 수 있습니다. 이 취약점은 버전 2.4.0 및 1.118.0에서 수정되었습니다.

위험을 줄이기 위해 긴급히 업데이트하세요

발견된 취약점의 범위와 심각성을 고려할 때, n8n 배포를 최신 버전으로 업데이트하는 것이 강력히 권장됩니다. 신속한 패치 적용은 악용 및 그에 따른 침해를 방지하는 가장 효과적인 방어 수단입니다.