CVE-2026-25049 n8n ievainojamība
Jaunatklāta drošības ievainojamība n8n darbplūsmas automatizācijas platformā noteiktos apstākļos ļauj izpildīt patvaļīgas sistēmas komandas. Trūkums ir reģistrēts kā CVE-2026-25049, un tam ir CVSS vērtējums 9,4, kas atspoguļo tā kritisko nopietnību. Ja problēma tiek veiksmīgi izmantota, uzbrucēji var izpildīt sistēmas līmeņa komandas serverī, kurā tiek mitināts n8n.
Satura rādītājs
Iepriekš ielāpotas ievainojamības apiešana
CVE-2026-25049 trūkums rodas no nepietiekamas attīrīšanas, kas apiet aizsardzības pasākumus, kas ieviesti, lai novērstu CVE-2025-68613 (CVSS 9.9) — kritisku ievainojamību, kas tika labota 2025. gada decembrī. Turpmākā analīze ir parādījusi, ka jaunākais CVE faktiski ir sākotnējā labojuma apiešana, nevis pilnīgi atsevišķa problēma. Pētnieki ir pierādījuši, ka abi trūkumi ļauj uzbrucējiem izvairīties no n8n izteiksmju smilškastes un apiet esošās drošības pārbaudes. Pēc iepriekšējās informācijas atklāšanas tika identificētas un novērstas arī papildu nepilnības izteiksmju novērtēšanā.
Uzbrukuma priekšnosacījumi un ekspluatācijas mehānika
Jebkurš autentificēts lietotājs ar atļauju izveidot vai modificēt darbplūsmas var izmantot šo ievainojamību. Ievietojot darbplūsmas parametros izstrādātas izteiksmes, kļūst iespējams izraisīt neparedzētu sistēmas komandu izpildi. Īpaši bīstams scenārijs ir darbplūsmas izveide, kas bez autentifikācijas atklāj publiski pieejamu tīmekļa āķi. Ieguldot vienu JavaScript rindiņu, izmantojot destruktīvu sintaksi, uzbrucēji var likt darbplūsmai izpildīt sistēmas komandas. Kad šāda darbplūsma ir aktivizēta, jebkura ārēja puse var aktivizēt tīmekļa āķi un attālināti izpildīt komandas.
Riska nopietnība vēl vairāk palielinās, ja to apvieno ar n8n tīmekļa aizķeršanās funkcionalitāti, kas ļauj publiski atklāt ļaunprātīgas darbplūsmas. Šādos gadījumos izmantošanai nav nepieciešamas paaugstinātas privilēģijas, izņemot darbplūsmas izveidi, kas uzsver pētnieku apkopoto risku šādi: ja darbplūsmas izveide ir atļauta, ir iespējama pilnīga servera kompromitēšana.
Galvenais iemesls: tipa ieviešanas nepilnības un izpildlaika ļaunprātīga izmantošana
Šī ievainojamība rodas n8n sanitizācijas mehānismu nepilnību un būtiskas neatbilstības dēļ starp TypeScript kompilēšanas laika tipu sistēmu un JavaScript izpildes laika uzvedību. Lai gan TypeScript kompilācijas laikā ievieš tipu ierobežojumus, tas nevar garantēt šos ierobežojumus uzbrucēja kontrolētām vērtībām, kas ieviestas izpildes laikā. Nodrošinot vērtības, kas nav virknes, piemēram, objektus vai masīvus, uzbrucēji var apiet sanitizācijas loģiku, kas pieņem tikai virknes ievadi, efektīvi neitralizējot kritiskās drošības kontroles.
Iespējamā ietekme uz sistēmām un datiem
Veiksmīga izmantošana var izraisīt pilnīgu servera kompromitēšanu. Uzbrucēji var nozagt akreditācijas datus, izgūt sensitīvus datus, piekļūt failu sistēmai un iekšējiem pakalpojumiem, pārslēgties uz savienotām mākoņvidēm un nolaupīt mākslīgā intelekta darbplūsmas. Iespēja instalēt pastāvīgas aizmugures durvis vēl vairāk palielina ilgtermiņa, slepenas piekļuves risku.
Ietekmētās versijas un mazināšanas norādījumi
Ievainojamība ietekmē n8n versijas, kas ir vecākas par ielāpītajām versijām, un to atklāja desmit neatkarīgi drošības pētnieki. Ievainojamā versija ir skarta, kā arī ir ieteicamie pagaidu risinājumi, ja tūlītēja ielāpu ieviešana nav iespējama:
Ietekmētās versijas: n8n versijas, kas ir vecākas par 1.123.17 un 2.5.2, kurās ir izlaisti labojumi.
Ieteicamie mazināšanas pasākumi: ierobežot darbplūsmas izveidi un rediģēšanu, atļaujot to pilnībā uzticamiem lietotājiem, un izvietot n8n aizsargātā vidē ar ierobežotām operētājsistēmas privilēģijām un ierobežotu piekļuvi tīklam.
Šis jautājums izceļ nepieciešamību pēc slāņveida validācijas stratēģijām. Kompilēšanas laika garantijas jāpapildina ar stingrām izpildes laika pārbaudēm, īpaši, strādājot ar neuzticamu ievadi. Koda pārskatīšanām jākoncentrējas uz attīrīšanas rutīnām un jāizvairās no pieņēmumiem par ievades veidiem, kas netiek ieviesti izpildes laikā.
Papildu augstas nopietnības n8n ievainojamības
Papildus CVE-2026-25049, n8n ir publicējis ieteikumus par vēl četriem drošības trūkumiem, no kuriem divi ir novērtēti kā kritiski:
CVE-2026-25053 (CVSS 9.4) : operētājsistēmas komandu injekcija Git mezglā, kas ļauj autentificētiem lietotājiem ar darbplūsmas atļaujām izpildīt komandas vai lasīt patvaļīgus failus; izlabots 2.5.0 un 1.123.10 versijās.
CVE-2026-25054 (CVSS 8.5) : Markdown renderēšanas komponentā atrasta starpvietņu skriptēšanas ievainojamība, kas iespējo skriptu izpildi ar vienas izcelsmes privilēģijām un iespējamu konta pārņemšanu; izlabota 2.2.1 un 1.123.9 versijās.
CVE-2026-25055 (CVSS 7.1) : Ceļa šķērsošanas problēma SSH mezglā, kas var izraisīt failu rakstīšanu neparedzētās vietās un iespējamu attālinātu koda izpildi mērķa sistēmās; izlabota 2.4.0 un 1.123.12 versijās.
CVE-2026-25056 (CVSS 9.4) : patvaļīgas failu rakstīšanas ievainojamība sapludināšanas mezgla SQL vaicājuma režīmā, kas potenciāli var izraisīt attālinātu koda izpildi; izlabota 2.4.0 un 1.118.0 versijās.
Steidzami atjauniniet, lai samazinātu risku
Ņemot vērā identificēto ievainojamību apjomu un nopietnību, stingri ieteicams atjaunināt n8n izvietojumus uz jaunākajām pieejamajām versijām. Ātra ielāpu instalēšana joprojām ir visefektīvākā aizsardzība pret ievainojamību izmantošanu un sekojošu kompromitēšanu.
