Рањивост CVE-2026-25049 n8n
Новооткривена безбедносна рањивост у платформи за аутоматизацију радног процеса n8n омогућава произвољно извршавање системских команди под одређеним условима. Ранина је праћена као CVE-2026-25049 и носи CVSS оцену 9,4, што одражава њену критичну озбиљност. Уколико се успешно искористи, проблем омогућава нападачима да извршавају команде на системском нивоу на серверу који хостује n8n.
Преглед садржаја
Заобилажење претходно исправљене рањивости
Рањивост CVE-2026-25049 произилази из недовољне санације која заобилази заштите уведене за санацију CVE-2025-68613 (CVSS 9.9), критичне рањивости исправљене у децембру 2025. године. Накнадне анализе су показале да је новији CVE заправо заобилажење оригиналне исправке, а не потпуно другачији проблем. Истраживачи су показали да обе рањивости омогућавају нападачима да избегну n8n-ов „песчаник“ израза и заобиђу постојеће безбедносне провере. Након ранијег открића, идентификоване су и отклоњене и додатне слабости у процени израза.
Предуслови за напад и механика експлоатације
Сваки аутентификовани корисник са дозволом за креирање или измену токова посла може да искористи рањивост. Убацивањем креираних израза у параметре тока посла, могуће је покренути ненамерно извршавање системских команди. Посебно опасан сценарио укључује креирање тока посла који открива јавно доступан вебхук без аутентификације. Уграђивањем једне линије JavaScript кода користећи деструктурирајућу синтаксу, нападачи могу проузроковати да ток посла извршава системске команде. Када се такав ток посла активира, било која спољна страна може да покрене вебхук и даљински изврши команде.
Озбиљност се додатно повећава када се комбинује са n8n-овом вебхук функционалношћу, која омогућава јавно откривање злонамерних токова рада. У таквим случајевима, експлоатација не захтева повећане привилегије осим креирања тока рада, што истиче ризик који су истраживачи сумирали као: ако је креирање тока рада дозвољено, могућа је потпуна компромитација сервера.
Основни узрок: Пропусти у спровођењу типова и злоупотреба током извршавања
Рањивост произилази из празнина у механизмима за дезинфекцију n8n-а и фундаменталног неслагања између система типова током компајлирања TypeScript-а и понашања JavaScript-а током извршавања. Иако TypeScript намеће ограничења типова током компајлирања, не може да гарантује ова ограничења за вредности које контролише нападач, а које се уносе током извршавања. Достављањем вредности које нису стрингови, као што су објекти или низови, нападачи могу да заобиђу логику дезинфекције која претпоставља само стрингове, ефикасно неутралишући критичне безбедносне контроле.
Потенцијални утицај на системе и податке
Успешна експлоатација може довести до потпуног компромитовања сервера. Нападачи би могли да украду акредитиве, извлаче осетљиве податке, приступе систему датотека и интерним сервисима, пређу на повезана облачна окружења и отму радне процесе вештачке интелигенције. Могућност инсталирања трајних задњих врата додатно повећава ризик од дугорочног, тајног приступа.
Погођене верзије и смернице за ублажавање
Рањивост погађа верзије n8n-а старије од издања са закрпама и откривена је уз допринос десет независних истраживача безбедности. Следеће верзије су погођене, заједно са препорученим привременим мерама за ублажавање проблема када тренутно ажурирање закрпа није изводљиво:
Погођене верзије: n8n верзије старије од 1.123.17 и 2.5.2, где су објављене исправке.
Препоручене мере за ублажавање: ограничите креирање и уређивање тока посла на потпуно поуздане кориснике и примените n8n у заштићеном окружењу са ограниченим привилегијама оперативног система и ограниченим приступом мрежи.
Ово питање истиче неопходност слојевитих стратегија валидације. Гаранције током компајлирања морају бити допуњене строгим проверама током извршавања, посебно када се обрађује непоуздан унос. Прегледи кода треба да се фокусирају на рутине санитације и да избегавају претпоставке о типовима уноса које се не примењују током извршавања.
Додатне n8n рањивости високог степена озбиљности
Уз CVE-2026-25049, n8n је објавио упозорења за још четири безбедносна пропуста, од којих су два оцењена као критична:
CVE-2026-25053 (CVSS 9.4) : Убризгавање команди оперативног система у Git чвор, што омогућава аутентификованим корисницима са дозволама за радни ток да извршавају команде или читају произвољне датотеке; исправљено у верзијама 2.5.0 и 1.123.10.
CVE-2026-25054 (CVSS 8.5) : Рањивост у вези са складиштеним међусајтским скриптовањем у компоненти за рендеровање маркдаун-а, омогућавајући извршавање скрипти са привилегијама истог порекла и потенцијалним преузимањем налога; исправљено у верзијама 2.2.1 и 1.123.9.
CVE-2026-25055 (CVSS 7.1) : Проблем са проласком путање у SSH чвору који може довести до писања датотека на нежељеним локацијама и могућег даљинског извршавања кода на циљним системима; исправљено у верзијама 2.4.0 и 1.123.12.
CVE-2026-25056 (CVSS 9.4) : Рањивост у вези са произвољним писањем у датотеке у режиму SQL упита чвора за спајање, што потенцијално може довести до даљинског извршавања кода; исправљено у верзијама 2.4.0 и 1.118.0.
Хитно ажурирајте да бисте смањили ризик
С обзиром на ширину и озбиљност идентификованих рањивости, топло се препоручује ажурирање n8n имплементација на најновије доступне верзије. Брзо ажурирање остаје најефикаснија одбрана од експлоатације и накнадног компромитовања.
