Rabattoffert för flera licenser
Hotdatabas Sårbarhet CVE-2026-25049 n8n-sårbarhet

CVE-2026-25049 n8n-sårbarhet

Med Mezo år Sårbarhet
Översätt till:

En nyligen avslöjad säkerhetssårbarhet i n8n:s arbetsflödesautomationsplattform möjliggör godtycklig exekvering av systemkommandon under vissa förhållanden. Felet spåras som CVE-2026-25049 och har en CVSS-poäng på 9,4, vilket återspeglar dess kritiska allvarlighetsgrad. Om problemet utnyttjas framgångsrikt gör det det möjligt för angripare att exekvera kommandon på systemnivå på servern som är värd för n8n.

Kringgå en tidigare uppdaterad sårbarhet

CVE-2026-25049 härrör från otillräcklig sanering som kringgår skydd som introducerades för att åtgärda CVE-2025-68613 (CVSS 9.9), en kritisk sårbarhet som uppdaterades i december 2025. Efterföljande analys har visat att den nyare CVE i praktiken är en kringgång av den ursprungliga korrigeringen snarare än ett helt separat problem. Forskare har visat att båda bristerna gör det möjligt för angripare att undkomma n8n:s uttryckssandlåda och kringgå befintliga säkerhetskontroller. Efter det tidigare avslöjandet identifierades och åtgärdades även ytterligare svagheter i uttrycksutvärderingen.

Förutsättningar för attacker och exploateringsmekanik

Alla autentiserade användare med behörighet att skapa eller ändra arbetsflöden kan utnyttja sårbarheten. Genom att injicera specialuttryck i arbetsflödesparametrar blir det möjligt att utlösa oavsiktlig körning av systemkommandon. Ett särskilt farligt scenario innebär att skapa ett arbetsflöde som exponerar en offentligt tillgänglig webhook utan autentisering. Genom att bädda in en enda rad JavaScript med hjälp av destrukturerande syntax kan angripare få arbetsflödet att köra systemkommandon. När ett sådant arbetsflöde har aktiverats kan vilken extern part som helst utlösa webhooken och köra kommandon på distans.

Allvarlighetsgraden eskalerar ytterligare i kombination med n8ns webhook-funktionalitet, som gör att skadliga arbetsflöden kan exponeras offentligt. I sådana fall kräver utnyttjandet inte utökade behörigheter utöver att skapa arbetsflöden, vilket understryker risken som forskare sammanfattat som: om skapande av arbetsflöden är tillåtet är fullständig serverkompromettering möjlig.

Grundorsak: Typtillämpningsbrister och körtidsmissbruk

Sårbarheten uppstår på grund av luckor i n8ns saneringsmekanismer och en grundläggande skillnad mellan TypeScripts typsystem vid kompilering och JavaScripts körningsbeteende. Även om TypeScript tillämpar typbegränsningar under kompilering kan det inte garantera dessa begränsningar för angriparkontrollerade värden som introduceras vid körning. Genom att tillhandahålla icke-strängvärden, såsom objekt eller arrayer, kan angripare kringgå saneringslogik som antar endast stränginmatning, vilket effektivt neutraliserar kritiska säkerhetskontroller.

Potentiell påverkan på system och data

Lyckad exploatering kan leda till fullständig serverkompromiss. Angripare kan stjäla inloggningsuppgifter, stjäla känsliga data, komma åt filsystemet och interna tjänster, växla till anslutna molnmiljöer och kapa arbetsflöden för artificiell intelligens. Möjligheten att installera ihållande bakdörrar ökar ytterligare risken för långvarig, hemlig åtkomst.

Berörda versioner och riktlinjer för begränsning

Sårbarheten påverkar n8n-versioner tidigare än de uppdaterade utgåvorna och upptäcktes med bidrag från tio oberoende säkerhetsforskare. Följande versioner är påverkade, tillsammans med rekommenderade tillfälliga åtgärder när omedelbar uppdatering inte är möjlig:

Berörda versioner: n8n-versioner tidigare än 1.123.17 och 2.5.2, där korrigeringar har släppts.

Rekommenderade åtgärder: begränsa skapande och redigering av arbetsflöden till helt betrodda användare och driftsätt n8n i en härdad miljö med begränsade operativsystembehörigheter och begränsad nätverksåtkomst.

Denna fråga belyser behovet av valideringsstrategier i flera lager. Garantier vid kompileringstid måste kompletteras med strikta körtidskontroller, särskilt vid hantering av otillförlitliga indata. Kodgranskningar bör fokusera på saneringsrutiner och undvika antaganden om indatatyper som inte tillämpas vid körning.

Ytterligare n8n-sårbarheter med hög allvarlighetsgrad

Vid sidan av CVE-2026-25049 har n8n publicerat rekommendationer för fyra ytterligare säkerhetsbrister, varav två är klassade som kritiska:

CVE-2026-25053 (CVSS 9.4) : Kommandoinjektion i operativsystemet i Git-noden, vilket gör det möjligt för autentiserade användare med arbetsflödesbehörigheter att köra kommandon eller läsa godtyckliga filer; åtgärdat i version 2.5.0 och 1.123.10.

CVE-2026-25054 (CVSS 8.5) : Sårbarhet för skriptkörning över flera webbplatser lagrades i en markdown-renderingskomponent, vilket möjliggjorde skriptkörning med privilegier från samma ursprung och potentiell kontoövertagande; åtgärdat i version 2.2.1 och 1.123.9.

CVE-2026-25055 (CVSS 7.1) : Problem med sökvägstraversering i SSH-noden som kan leda till filskrivningar på oavsiktliga platser och möjlig fjärrkörning av kod på målsystem; åtgärdat i version 2.4.0 och 1.123.12.

CVE-2026-25056 (CVSS 9.4) : Sårbarhet med godtycklig filskrivning i Merge-nodens SQL-frågeläge, vilket potentiellt kan leda till fjärrkörning av kod; åtgärdat i version 2.4.0 och 1.118.0.

Uppdatera snarast för att minska risken

Med tanke på omfattningen och allvarlighetsgraden av de identifierade sårbarheterna rekommenderas starkt att uppdatera n8n-distributioner till de senaste tillgängliga versionerna. Snabb patchning är fortfarande det mest effektiva försvaret mot utnyttjande och efterföljande kompromettering.

 

Trendigt

Mest sedda

Läser in...