CVE-2026-25049 n8n-sårbarhet
Et nylig avslørt sikkerhetsproblem i n8ns arbeidsflytautomatiseringsplattform tillater vilkårlig utførelse av systemkommandoer under visse forhold. Feilen spores som CVE-2026-25049 og har en CVSS-poengsum på 9,4, som gjenspeiler den kritiske alvorlighetsgraden. Hvis problemet utnyttes, lar det angripere utføre systemnivåkommandoer på serveren som er vert for n8n.
Innholdsfortegnelse
Omgå en tidligere oppdatert sårbarhet
CVE-2026-25049 stammer fra utilstrekkelig sanering som omgår beskyttelser introdusert for å utbedre CVE-2025-68613 (CVSS 9.9), en kritisk sårbarhet som ble oppdatert i desember 2025. Senere analyser har vist at den nyere CVE-en effektivt er en omgåelse av den opprinnelige rettelsen snarere enn et helt separat problem. Forskere har vist at begge feilene lar angripere unnslippe n8ns uttrykkssandkasse og omgå eksisterende sikkerhetskontroller. Etter den tidligere avsløringen ble ytterligere svakheter i uttrykksevalueringen også identifisert og adressert.
Forutsetninger for angrep og utnyttelsesmekanikk
Enhver autentisert bruker med tillatelse til å opprette eller endre arbeidsflyter kan utnytte sårbarheten. Ved å injisere håndlagde uttrykk i arbeidsflytparametere blir det mulig å utløse utilsiktet utførelse av systemkommandoer. Et spesielt farlig scenario innebærer å opprette en arbeidsflyt som eksponerer en offentlig tilgjengelig webhook uten autentisering. Ved å bygge inn en enkelt linje med JavaScript ved hjelp av destrukturerende syntaks kan angripere få arbeidsflyten til å utføre systemkommandoer. Når en slik arbeidsflyt er aktivert, kan enhver ekstern part utløse webhooken og utføre kommandoer eksternt.
Alvorlighetsgraden eskalerer ytterligere når den kombineres med n8ns webhook-funksjonalitet, som tillater at ondsinnede arbeidsflyter eksponeres offentlig. I slike tilfeller krever ikke utnyttelse utvidede rettigheter utover opprettelse av arbeidsflyter, noe som understreker risikoen som forskere oppsummerer som: hvis opprettelse av arbeidsflyter er tillatt, er fullstendig serverkompromittering mulig.
Rotårsak: Gap i typehåndhevelse og misbruk av kjøretid
Sårbarheten oppstår fra hull i n8ns saneringsmekanismer og et fundamentalt misforhold mellom TypeScripts typesystem under kompilering og JavaScripts kjøretidsoppførsel. Selv om TypeScript håndhever typebegrensninger under kompilering, kan den ikke garantere disse begrensningene for angriperkontrollerte verdier introdusert under kjøretid. Ved å levere ikke-strengverdier, for eksempel objekter eller arrayer, kan angripere omgå saneringslogikk som antar kun strenginndata, og dermed effektivt nøytralisere kritiske sikkerhetskontroller.
Potensiell innvirkning på systemer og data
Vellykket utnyttelse kan føre til fullstendig serverkompromittering. Angripere kan stjele legitimasjon, tvangsinndrive sensitive data, få tilgang til filsystemet og interne tjenester, bytte til tilkoblede skymiljøer og kapre arbeidsflyter for kunstig intelligens. Muligheten til å installere vedvarende bakdører øker risikoen for langvarig, skjult tilgang ytterligere.
Berørte versjoner og veiledning om tiltak
Sårbarheten påvirker n8n-versjoner tidligere enn de oppdaterte utgivelsene, og ble oppdaget med bidrag fra ti uavhengige sikkerhetsforskere. Følgende versjoner er berørt, sammen med anbefalte midlertidige tiltak når umiddelbar oppdatering ikke er mulig:
Berørte versjoner: n8n-versjoner tidligere enn 1.123.17 og 2.5.2, hvor rettelser er utgitt.
Anbefalte tiltak: begrens opprettelse og redigering av arbeidsflyter til fullt klarerte brukere, og distribuer n8n i et herdet miljø med begrensede operativsystemrettigheter og begrenset nettverkstilgang.
Dette problemet fremhever nødvendigheten av lagdelte valideringsstrategier. Garantier under kompileringstid må suppleres med strenge kjøretidskontroller, spesielt når man håndterer upålitelig input. Kodegjennomganger bør fokusere på saneringsrutiner og unngå antagelser om inputtyper som ikke håndheves under kjøretid.
Ytterligere n8n-sårbarheter med høy alvorlighetsgrad
Ved siden av CVE-2026-25049 har n8n publisert råd om fire ytterligere sikkerhetshull, hvorav to er vurdert som kritiske:
CVE-2026-25053 (CVSS 9.4) : Kommandoinnsprøytning i operativsystemet i Git-noden, slik at autentiserte brukere med arbeidsflyttillatelser kan utføre kommandoer eller lese vilkårlige filer; fikset i versjon 2.5.0 og 1.123.10.
CVE-2026-25054 (CVSS 8.5) : Lagret sårbarhet for skripting på tvers av nettsteder i en markdown-gjengivelseskomponent, som muliggjør skriptkjøring med rettigheter til samme opprinnelse og potensiell kontoovertakelse; rettet i versjon 2.2.1 og 1.123.9.
CVE-2026-25055 (CVSS 7.1) : Problem med sti-traversering i SSH-noden som kan føre til filskriving på utilsiktede steder og mulig ekstern kodekjøring på målsystemer; rettet i versjon 2.4.0 og 1.123.12.
CVE-2026-25056 (CVSS 9.4) : Sårbarhet for vilkårlig filskriving i Merge-nodens SQL-spørringsmodus, potensielt noe som kan føre til ekstern kodekjøring; rettet i versjon 2.4.0 og 1.118.0.
Oppdater raskt for å redusere risikoen
Gitt omfanget og alvorlighetsgraden av de identifiserte sårbarhetene, anbefales det sterkt å oppdatere n8n-distribusjoner til de nyeste tilgjengelige versjonene. Rask oppdatering er fortsatt det mest effektive forsvaret mot utnyttelse og påfølgende kompromittering.
