Vulnerabilitate n8n CVE-2026-25049
O vulnerabilitate de securitate recent dezvăluită în platforma de automatizare a fluxurilor de lucru n8n permite executarea arbitrară a comenzilor de sistem în anumite condiții. Defectul este înregistrat ca CVE-2026-25049 și are un scor CVSS de 9,4, reflectând severitatea sa critică. Dacă este exploatată cu succes, problema permite atacatorilor să execute comenzi la nivel de sistem pe serverul care găzduiește n8n.
Cuprins
Ocolirea unei vulnerabilități aplicate anterior prin patch-uri
CVE-2026-25049 provine dintr-o igienizare insuficientă care ocolește protecțiile introduse pentru a remedia CVE-2025-68613 (CVSS 9.9), o vulnerabilitate critică aplicată în decembrie 2025. Analizele ulterioare au arătat că noul CVE este practic o ocolire a remedierii originale, mai degrabă decât o problemă complet distinctă. Cercetătorii au demonstrat că ambele defecte permit atacatorilor să scape de mediul de testare al expresiilor n8n și să eludeze verificările de securitate existente. În urma dezvăluirii anterioare, au fost identificate și abordate și puncte slabe suplimentare în evaluarea expresiilor.
Cerințe preliminare de atac și mecanici de exploatare
Orice utilizator autentificat cu permisiunea de a crea sau modifica fluxuri de lucru poate exploata vulnerabilitatea. Prin injectarea de expresii create special în parametrii fluxului de lucru, devine posibilă declanșarea executării neintenționate a comenzilor de sistem. Un scenariu deosebit de periculos implică crearea unui flux de lucru care expune un webhook accesibil publicului fără autentificare. Prin încorporarea unei singure linii de JavaScript folosind sintaxa de destructurare, atacatorii pot determina fluxul de lucru să execute comenzi de sistem. Odată ce un astfel de flux de lucru este activat, orice parte externă poate declanșa webhook-ul și executa comenzi de la distanță.
Gravitatea crește și mai mult atunci când este combinată cu funcționalitatea webhook a n8n, care permite expunerea publică a fluxurilor de lucru rău intenționate. În astfel de cazuri, exploatarea nu necesită privilegii sporite dincolo de crearea unui flux de lucru, subliniind riscul rezumat de cercetători ca fiind: dacă este permisă crearea unui flux de lucru, compromiterea completă a serverului este realizabilă.
Cauza principală: Lacune în aplicarea tipurilor și abuz în timpul rulării
Vulnerabilitatea provine din lacunele din mecanismele de sanitizare ale n8n și dintr-o neconcordanță fundamentală între sistemul de tipuri la compilare al TypeScript și comportamentul la rulare al JavaScript. Deși TypeScript impune constrângeri de tip în timpul compilării, nu poate garanta aceste constrângeri pentru valorile controlate de atacator introduse la rulare. Prin furnizarea de valori care nu sunt șiruri de caractere, cum ar fi obiecte sau matrice, atacatorii pot ocoli logica de sanitizare care presupune introducerea doar a unor șiruri de caractere, neutralizând efectiv controalele de securitate critice.
Impactul potențial asupra sistemelor și datelor
Exploatarea cu succes poate duce la compromiterea completă a serverului. Atacatorii ar putea fura acreditări, exfiltra date sensibile, accesa sistemul de fișiere și serviciile interne, se pot orienta către medii cloud conectate și deturna fluxuri de lucru bazate pe inteligență artificială. Capacitatea de a instala backdoor-uri persistente crește și mai mult riscul de acces secret pe termen lung.
Versiuni afectate și îndrumări pentru atenuare
Vulnerabilitatea afectează versiunile n8n anterioare versiunilor actualizate și a fost descoperită cu contribuțiile a zece cercetători independenți în domeniul securității. Următoarele versiuni sunt afectate, împreună cu măsurile de atenuare intermediare recomandate atunci când actualizarea imediată nu este fezabilă:
Versiuni afectate: versiunile n8n anterioare versiunii 1.123.17 și 2.5.2, pentru care au fost lansate remedieri.
Atenuări recomandate: restricționarea creării și editării fluxurilor de lucru la utilizatorii de încredere deplină și implementarea n8n într-un mediu securizat, cu privilegii de sistem de operare restricționate și acces limitat la rețea.
Această problemă evidențiază necesitatea unor strategii de validare stratificate. Garanțiile la momentul compilării trebuie completate de verificări stricte la momentul execuției, în special atunci când se gestionează date de intrare nesigure. Revizuirile de cod ar trebui să se concentreze pe rutinele de igienizare și să evite presupunerile despre tipurile de date de intrare care nu sunt impuse la momentul execuției.
Vulnerabilități n8n suplimentare de severitate ridicată
Alături de CVE-2026-25049, n8n a publicat avertismente pentru patru vulnerabilități de securitate suplimentare, dintre care două sunt clasificate ca fiind critice:
CVE-2026-25053 (CVSS 9.4) : Injectarea comenzilor sistemului de operare în nodul Git, permițând utilizatorilor autentificați cu permisiuni de flux de lucru să execute comenzi sau să citească fișiere arbitrare; remediată în versiunile 2.5.0 și 1.123.10.
CVE-2026-25054 (CVSS 8.5) : Vulnerabilitate de scripting cross-site stocată într-o componentă de randare markdown, care permite executarea scripturilor cu privilegii de aceeași origine și potențială preluare a contului; remediată în versiunile 2.2.1 și 1.123.9.
CVE-2026-25055 (CVSS 7.1) : Problemă de traversare a căii în nodul SSH, care poate duce la scrieri de fișiere în locații neintenționate și la posibila executare de cod la distanță pe sistemele țintă; remediată în versiunile 2.4.0 și 1.123.12.
CVE-2026-25056 (CVSS 9.4) : Vulnerabilitate de scriere arbitrară a fișierelor în modul SQL Query al nodului Merge, care poate duce la executarea de cod la distanță; remediată în versiunile 2.4.0 și 1.118.0.
Actualizați urgent pentru a reduce riscul
Având în vedere amploarea și gravitatea vulnerabilităților identificate, actualizarea implementărilor n8n la cele mai recente versiuni disponibile este insistent recomandată. Aplicarea rapidă a corecțiilor rămâne cea mai eficientă apărare împotriva exploatării și compromiterii ulterioare.
