CVE-2026-25049 n8n pažeidžiamumas
Naujai atskleista „n8n“ darbo eigos automatizavimo platformos saugumo spraga leidžia tam tikromis sąlygomis vykdyti savavališkas sistemos komandas. Šis trūkumas žymimas kaip CVE-2026-25049 ir jam suteiktas 9,4 CVSS balas, rodantis kritinį jo pavojingumą. Sėkmingai išnaudojus šią problemą, užpuolikai galės vykdyti sistemos lygio komandas serveryje, kuriame talpinama „n8n“.
Turinys
Anksčiau pataisyto pažeidžiamumo apėjimas
CVE-2026-25049 pažeidžiamumas kyla dėl nepakankamo išvalymo, kuris apeina apsaugos priemones, įdiegtas siekiant ištaisyti CVE-2025-68613 (CVSS 9.9) pažeidžiamumą, kuris buvo pataisytas 2025 m. gruodžio mėn. Vėlesnė analizė parodė, kad naujesnis CVE iš esmės apeina pradinį pataisymą, o ne yra visiškai atskira problema. Tyrėjai įrodė, kad abu trūkumai leidžia užpuolikams išvengti „n8n“ išraiškų smėlio dėžės ir apeiti esamus saugumo patikrinimus. Po ankstesnio atskleidimo taip pat buvo nustatyti ir pašalinti papildomi išraiškų vertinimo trūkumai.
Atakos prielaidos ir išnaudojimo mechanika
Bet kuris autentifikuotas vartotojas, turintis leidimą kurti arba modifikuoti darbo eigas, gali pasinaudoti pažeidžiamumu. Į darbo eigos parametrus įterpiant sukurtas išraiškas, tampa įmanoma sukelti netyčinį sistemos komandų vykdymą. Ypač pavojingas scenarijus yra darbo eigos, kuri atskleidžia viešai prieinamą žiniatinklio kablį be autentifikavimo, sukūrimas. Įterpdami vieną „JavaScript“ eilutę naudodami destruktyvią sintaksę, užpuolikai gali priversti darbo eigą vykdyti sistemos komandas. Kai toks darbo eiga suaktyvinamas, bet kuri išorinė šalis gali suaktyvinti žiniatinklio kablį ir nuotoliniu būdu vykdyti komandas.
Rizika dar labiau padidėja, kai ši problema derinama su „n8n“ žiniatinklio kabliuko funkcija, leidžiančia viešai atskleisti kenkėjiškas darbo eigas. Tokiais atvejais išnaudojimui nereikia didesnių privilegijų, išskyrus darbo eigos kūrimą, o tai pabrėžia tyrėjų apibendrintą riziką taip: jei leidžiama kurti darbo eigą, galima visiškai užgrobti serverį.
Pagrindinė priežastis: Tipo vykdymo spragos ir piktnaudžiavimas vykdymo metu
Pažeidžiamumas kyla dėl spragų „n8n“ valymo mechanizmuose ir esminio neatitikimo tarp „TypeScript“ kompiliavimo laiko tipų sistemos ir „JavaScript“ vykdymo laiko elgsenos. Nors „TypeScript“ taiko tipų apribojimus kompiliavimo metu, jis negali garantuoti šių apribojimų užpuoliko kontroliuojamoms reikšmėms, įvestoms vykdymo metu. Pateikdami ne eilučių reikšmes, pvz., objektus ar masyvus, užpuolikai gali apeiti valymo logiką, kuri daro prielaidą, kad įvestis yra tik eilutė, ir taip efektyviai neutralizuoti svarbias saugumo kontrolės priemones.
Galimas poveikis sistemoms ir duomenims
Sėkmingas išnaudojimas gali lemti visišką serverio užgrobimą. Užpuolikai gali pavogti prisijungimo duomenis, išgauti slaptus duomenis, pasiekti failų sistemą ir vidines paslaugas, pereiti prie prijungtų debesijos aplinkų ir užgrobti dirbtinio intelekto darbo eigas. Galimybė įdiegti nuolatines užpakalines duris dar labiau padidina ilgalaikės, slaptos prieigos riziką.
Paveiktos versijos ir jų mažinimo gairės
Pažeidžiamumas paveikia n8n versijas, senesnes nei pataisytos versijos, ir buvo atrastas dešimties nepriklausomų saugumo tyrėjų dėka. Pažeidžiamumas paveiktas toliau nurodytomis versijomis ir rekomenduojamos laikinos priemonės, kai nedelsiant įdiegti pataisymus neįmanoma:
Paveiktos versijos: „n8n“ versijos, ankstesnės nei 1.123.17 ir 2.5.2, kuriose buvo išleisti pataisymai.
Rekomenduojami mažinimo būdai: apriboti darbo eigų kūrimą ir redagavimą visiškai patikimiems vartotojams ir diegti „n8n“ sustiprintoje aplinkoje su apribotomis operacinės sistemos teisėmis ir ribota prieiga prie tinklo.
Ši problema pabrėžia daugiasluoksnių patvirtinimo strategijų būtinybę. Kompiliavimo laiko garantijas turi papildyti griežti vykdymo laiko patikrinimai, ypač tvarkant nepatikimą įvestį. Kodo peržiūros turėtų sutelkti dėmesį į valymo procedūras ir vengti prielaidų apie įvesties tipus, kurios nėra taikomos vykdymo metu.
Papildomi didelio pavojingumo n8n pažeidžiamumai
Be CVE-2026-25049, „n8n“ paskelbė įspėjimus apie keturis papildomus saugumo trūkumus, iš kurių du yra įvertinti kaip kritiniai:
CVE-2026-25053 (CVSS 9.4) : Operacinės sistemos komandų injekcija „Git“ mazge, leidžianti autentifikuotiems vartotojams, turintiems darbo eigos teises, vykdyti komandas arba skaityti savavališkus failus; ištaisyta 2.5.0 ir 1.123.10 versijose.
CVE-2026-25054 (CVSS 8.5) : „Markdown“ vaizdavimo komponente aptikta kelių svetainių scenarijų vykdymo spraga, leidžianti vykdyti scenarijus su tos pačios kilmės privilegijomis ir galimą paskyros perėmimą; ištaisyta 2.2.1 ir 1.123.9 versijose.
CVE-2026-25055 (CVSS 7.1) : SSH mazgo kelio apėjimo problema, dėl kurios failai gali būti rašomi netyčinėse vietose ir tikslinėse sistemose gali būti vykdomas nuotolinis kodas; ištaisyta 2.4.0 ir 1.123.12 versijose.
CVE-2026-25056 (CVSS 9.4) : savavališko failų rašymo pažeidžiamumas „Merge“ mazgo SQL užklausos režime, galintis sukelti nuotolinį kodo vykdymą; ištaisyta 2.4.0 ir 1.118.0 versijose.
Skubiai atnaujinkite, kad sumažintumėte riziką
Atsižvelgiant į nustatytų pažeidžiamumų mastą ir rimtumą, primygtinai rekomenduojama atnaujinti „n8n“ diegimus į naujausias prieinamas versijas. Greitas pataisymų diegimas išlieka veiksmingiausia apsauga nuo išnaudojimo ir vėlesnio įsilaužimo.
