Zraniteľnosť CVE-2026-25049 n8n
Novoodhalená bezpečnostná zraniteľnosť v platforme automatizácie pracovných postupov n8n umožňuje za určitých podmienok vykonávanie ľubovoľných systémových príkazov. Chyba je sledovaná ako CVE-2026-25049 a má skóre CVSS 9,4, čo odráža jej kritickú závažnosť. Ak sa problém úspešne zneužije, umožní útočníkom vykonávať príkazy na úrovni systému na serveri, na ktorom je hostený n8n.
Obsah
Obídenie predtým opravenej zraniteľnosti
CVE-2026-25049 pramení z nedostatočnej sanitácie, ktorá obchádza ochrany zavedené na nápravu CVE-2025-68613 (CVSS 9.9), čo je kritická zraniteľnosť opravená v decembri 2025. Následná analýza ukázala, že novšia CVE je v skutočnosti obídením pôvodnej opravy, a nie úplne odlišným problémom. Výskumníci preukázali, že obe chyby umožňujú útočníkom uniknúť sandboxu výrazov n8n a obísť existujúce bezpečnostné kontroly. Po skoršom zverejnení boli identifikované a riešené aj ďalšie slabé miesta vo vyhodnocovaní výrazov.
Predpoklady útoku a mechanizmy zneužitia
Túto zraniteľnosť môže zneužiť každý overený používateľ s povolením na vytváranie alebo úpravu pracovných postupov. Vložením vytvorených výrazov do parametrov pracovného postupu je možné spustiť neúmyselné vykonanie systémových príkazov. Obzvlášť nebezpečný scenár zahŕňa vytvorenie pracovného postupu, ktorý sprístupňuje verejne prístupný webhook bez overenia. Vložením jediného riadku kódu JavaScript pomocou deštruktívnej syntaxe môžu útočníci spôsobiť, že pracovný postup bude vykonávať systémové príkazy. Po aktivácii takéhoto pracovného postupu môže ktorákoľvek externá strana spustiť webhook a vykonávať príkazy na diaľku.
Závažnosť sa ešte zvyšuje v kombinácii s funkciou webhook n8n, ktorá umožňuje verejné odhalenie škodlivých pracovných postupov. V takýchto prípadoch si zneužitie nevyžaduje zvýšené privilégiá nad rámec vytvorenia pracovného postupu, čo zdôrazňuje riziko, ktoré výskumníci zhrnuli takto: ak je povolené vytváranie pracovného postupu, je možné dosiahnuť úplné ohrozenie servera.
Hlavná príčina: Medzery vo vynucovaní typov a zneužívanie za behu
Zraniteľnosť vyplýva z medzier v mechanizmoch sanitácie n8n a zásadného nesúladu medzi systémom typov TypeScript počas kompilácie a správaním JavaScriptu za behu. Hoci TypeScript vynucuje obmedzenia typov počas kompilácie, nemôže tieto obmedzenia zaručiť pre hodnoty kontrolované útočníkom zavedené za behu. Poskytnutím nereťazcových hodnôt, ako sú objekty alebo polia, môžu útočníci obísť logiku sanitácie, ktorá predpokladá iba reťazcový vstup, čím efektívne neutralizujú kritické bezpečnostné kontroly.
Potenciálny vplyv na systémy a údaje
Úspešné zneužitie môže viesť k úplnému napadnutiu servera. Útočníci by mohli ukradnúť prihlasovacie údaje, získať prístup k súborovému systému a interným službám, prejsť do prepojených cloudových prostredí a zneužiť pracovné postupy umelej inteligencie. Možnosť inštalácie trvalých zadných vrátok ďalej zvyšuje riziko dlhodobého, skrytého prístupu.
Ovplyvnené verzie a pokyny na zmiernenie problémov
Táto zraniteľnosť postihuje verzie n8n staršie ako sú vydania s opravami a bola objavená s prispením desiatich nezávislých bezpečnostných výskumníkov. Dotknuté sú nasledujúce verzie spolu s odporúčanými dočasnými opatreniami na zmiernenie problémov, keď okamžitá oprava nie je možná:
Ovplyvnené verzie: verzie n8n staršie ako 1.123.17 a 2.5.2, pre ktoré boli vydané opravy.
Odporúčané zmierňujúce opatrenia: obmedzte vytváranie a úpravy pracovných postupov na plne dôveryhodných používateľov a nasaďte n8n v zosilnenom prostredí s obmedzenými oprávneniami operačného systému a obmedzeným prístupom k sieti.
Tento problém zdôrazňuje potrebu viacvrstvových stratégií overovania. Garancie počas kompilácie musia byť doplnené prísnymi kontrolami za behu, najmä pri spracovaní nedôveryhodného vstupu. Kontroly kódu by sa mali zamerať na rutiny sanitácie a vyhnúť sa predpokladom o typoch vstupov, ktoré nie sú vynucované za behu.
Ďalšie vysoko závažné zraniteľnosti n8n
Spolu s chybou CVE-2026-25049 spoločnosť n8n zverejnila upozornenia týkajúce sa štyroch ďalších bezpečnostných chýb, z ktorých dve sú hodnotené ako kritické:
CVE-2026-25053 (CVSS 9.4) : Vkladanie príkazov operačného systému do uzla Git, ktoré umožňovalo overeným používateľom s oprávneniami na pracovný postup vykonávať príkazy alebo čítať ľubovoľné súbory; opravené vo verziách 2.5.0 a 1.123.10.
CVE-2026-25054 (CVSS 8.5) : Zraniteľnosť umožňujúca uložené cross-site scripting v komponente vykresľovania Markdown, ktorá umožňovala spúšťanie skriptov s oprávneniami rovnakého pôvodu a potenciálne prevzatie kontroly nad účtom; opravené vo verziách 2.2.1 a 1.123.9.
CVE-2026-25055 (CVSS 7.1) : Problém s prechodom cesty v uzle SSH, ktorý môže viesť k zápisu súborov na nežiaduce miesta a možnému vzdialenému spusteniu kódu na cieľových systémoch; opravené vo verziách 2.4.0 a 1.123.12.
CVE-2026-25056 (CVSS 9.4) : Zraniteľnosť umožňujúca zápis do ľubovoľného súboru v režime SQL dotazu uzla Merge, ktorá mohla viesť k vzdialenému spusteniu kódu; opravené vo verziách 2.4.0 a 1.118.0.
Naliehavo aktualizujte, aby ste znížili riziko
Vzhľadom na rozsah a závažnosť identifikovaných zraniteľností sa dôrazne odporúča aktualizácia nasadení n8n na najnovšie dostupné verzie. Rýchle opravy zostávajú najúčinnejšou obranou proti zneužitiu a následnému ohrozeniu.
