CVE-2026-25049 n8n Güvenlik Açığı
n8n iş akışı otomasyon platformunda yeni ortaya çıkan bir güvenlik açığı, belirli koşullar altında keyfi sistem komutlarının yürütülmesine olanak tanıyor. CVE-2026-25049 olarak takip edilen bu güvenlik açığı, kritik önem derecesini yansıtan 9.4'lük bir CVSS puanına sahip. Başarılı bir şekilde istismar edilmesi durumunda, saldırganlar n8n'i barındıran sunucuda sistem düzeyinde komutlar yürütebiliyor.
İçindekiler
Daha Önce Yamalanmış Bir Güvenlik Açığının Atlatılması
CVE-2026-25049, Aralık 2025'te yamalanan kritik bir güvenlik açığı olan CVE-2025-68613'ü (CVSS 9.9) gidermek için getirilen korumaları atlayan yetersiz veri temizleme işleminden kaynaklanmaktadır. Daha sonraki analizler, yeni CVE'nin tamamen ayrı bir sorun olmaktan ziyade, orijinal düzeltmenin etkili bir şekilde atlatılması olduğunu göstermiştir. Araştırmacılar, her iki kusurun da saldırganların n8n'nin ifade sanal alanından kaçmasına ve mevcut güvenlik kontrollerini atlatmasına olanak sağladığını göstermiştir. Daha önceki açıklamanın ardından, ifade değerlendirmesinde ek zayıf noktalar da tespit edilmiş ve ele alınmıştır.
Saldırı Önkoşulları ve İstismar Mekaniği
İş akışı oluşturma veya değiştirme iznine sahip herhangi bir kimliği doğrulanmış kullanıcı bu güvenlik açığından yararlanabilir. İş akışı parametrelerine özel olarak hazırlanmış ifadeler enjekte edilerek, istenmeyen sistem komutlarının yürütülmesi tetiklenebilir. Özellikle tehlikeli bir senaryo, kimlik doğrulaması olmadan herkese açık bir web kancası oluşturan bir iş akışı oluşturmayı içerir. Saldırganlar, yapı bozma sözdizimi kullanarak tek bir JavaScript satırı yerleştirerek, iş akışının sistem komutlarını yürütmesine neden olabilir. Bu tür bir iş akışı etkinleştirildikten sonra, herhangi bir dış taraf web kancasını tetikleyebilir ve uzaktan komutları yürütebilir.
N8n'nin kötü amaçlı iş akışlarının herkese açık bir şekilde ifşa edilmesine olanak tanıyan webhook işlevselliğiyle birleştiğinde, durum daha da vahim bir hal alıyor. Bu gibi durumlarda, istismar için iş akışı oluşturmanın ötesinde yüksek ayrıcalıklara gerek duyulmaz; bu da araştırmacıların özetlediği riski vurgular: iş akışı oluşturulmasına izin verilirse, sunucunun tamamen ele geçirilmesi mümkündür.
Temel Sebep: Tür Uygulama Açıkları ve Çalışma Zamanı İstismarı
Bu güvenlik açığı, n8n'nin veri temizleme mekanizmalarındaki boşluklardan ve TypeScript'in derleme zamanı tür sistemi ile JavaScript'in çalışma zamanı davranışı arasındaki temel uyumsuzluktan kaynaklanmaktadır. TypeScript derleme sırasında tür kısıtlamalarını uygularken, çalışma zamanında saldırgan tarafından kontrol edilen değerler için bu kısıtlamaları garanti edemez. Saldırganlar, nesneler veya diziler gibi dize olmayan değerler sağlayarak, yalnızca dize girdisi varsayan veri temizleme mantığını atlayabilir ve böylece kritik güvenlik kontrollerini etkisiz hale getirebilirler.
Sistemler ve Veriler Üzerindeki Potansiyel Etki
Başarılı bir saldırı, sunucunun tamamen ele geçirilmesine yol açabilir. Saldırganlar kimlik bilgilerini çalabilir, hassas verileri dışarı sızdırabilir, dosya sistemine ve iç hizmetlere erişebilir, bağlantılı bulut ortamlarına geçiş yapabilir ve yapay zeka iş akışlarını ele geçirebilir. Kalıcı arka kapılar kurma yeteneği, uzun vadeli, gizli erişim riskini daha da artırır.
Etkilenen Sürümler ve Önlem Kılavuzu
Bu güvenlik açığı, yamalanmış sürümlerden daha eski n8n sürümlerini etkiliyor ve on bağımsız güvenlik araştırmacısının katkılarıyla keşfedildi. Aşağıdaki sürümler etkilenmektedir ve acil yama uygulamasının mümkün olmadığı durumlarda önerilen geçici önlemler şunlardır:
Etkilenen sürümler: Düzeltmelerin yayınlandığı 1.123.17 ve 2.5.2'den önceki n8n sürümleri.
Önerilen önlemler: İş akışı oluşturma ve düzenleme işlemlerini yalnızca tam olarak güvenilen kullanıcılara kısıtlayın ve n8n'i kısıtlı işletim sistemi ayrıcalıkları ve sınırlı ağ erişimi olan güçlendirilmiş bir ortamda dağıtın.
Bu sorun, katmanlı doğrulama stratejilerinin gerekliliğini vurgulamaktadır. Derleme zamanı garantileri, özellikle güvenilmeyen girdilerle uğraşırken, sıkı çalışma zamanı kontrolleriyle desteklenmelidir. Kod incelemeleri, temizleme rutinlerine odaklanmalı ve çalışma zamanında uygulanmayan girdi türleri hakkındaki varsayımlardan kaçınmalıdır.
Ek Yüksek Ciddiyetli n8n Güvenlik Açıkları
CVE-2026-25049'un yanı sıra, n8n dört ek güvenlik açığı için de uyarı yayınladı; bunlardan ikisi kritik olarak değerlendiriliyor:
CVE-2026-25053 (CVSS 9.4) : Git düğümünde işletim sistemi komut enjeksiyonu açığı, iş akışı izinlerine sahip kimliği doğrulanmış kullanıcıların komut çalıştırmasına veya rastgele dosyaları okumasına olanak tanıyordu; 2.5.0 ve 1.123.10 sürümlerinde düzeltildi.
CVE-2026-25054 (CVSS 8.5) : Markdown işleme bileşeninde depolanmış bir siteler arası komut dosyası çalıştırma güvenlik açığı, aynı kaynak ayrıcalıklarıyla komut dosyası yürütülmesine ve potansiyel hesap ele geçirilmesine olanak tanır; 2.2.1 ve 1.123.9 sürümlerinde düzeltildi.
CVE-2026-25055 (CVSS 7.1) : SSH düğümünde, istenmeyen konumlara dosya yazılmasına ve hedef sistemlerde uzaktan kod yürütülmesine yol açabilen yol geçişi sorunu; 2.4.0 ve 1.123.12 sürümlerinde düzeltildi.
CVE-2026-25056 (CVSS 9.4) : Birleştirme düğümünün SQL Sorgu modunda rastgele dosya yazma güvenlik açığı, uzaktan kod yürütülmesine yol açabilir; 2.4.0 ve 1.118.0 sürümlerinde düzeltildi.
Riski azaltmak için acilen güncelleyin.
Tespit edilen güvenlik açıklarının kapsamı ve ciddiyeti göz önüne alındığında, n8n kurulumlarının en son sürümlere güncellenmesi şiddetle tavsiye edilir. Hızlı yama uygulaması, istismara ve sonrasında oluşabilecek güvenlik ihlallerine karşı en etkili savunma yöntemidir.
