0-day в деле
Image

0-day в деле

Показываем, как критические баги ломают системы в реальном времени, пока вендоры только готовят патч. 

Кошмар на улице n8n: платформу для автоматизации процессов лихорадит от новых уязвимостей

leer en español

n8n JFrog уязвимость автоматизация JavaScript Python удаленный доступ
Кошмар на улице n8n: платформу для автоматизации процессов лихорадит от новых уязвимостей
n8n JFrog уязвимость автоматизация JavaScript Python удаленный доступ

Похоже, защитные барьеры просто перестали работать.

image

Команда специалистов по информационной безопасности обнаружила две критически опасные уязвимости в платформе автоматизации рабочих процессов n8n. Обе ошибки позволяют авторизованным пользователям выполнить произвольный код на целевой системе, что может привести к захвату контроля над всей платформой.

Проблемы были выявлены исследователями из JFrog. Первая из них получила идентификатор CVE-2026-1470 и оценку 9.9 балла по шкале CVSS. Она связана с внедрением кода через механизм eval и даёт возможность обойти защиту Expression Sandbox. При успешной атаке злоумышленник может запустить JavaScript-код на главном узле n8n.

Вторая уязвимость, CVE-2026-0863, оценена в 8.5 балла. Она затрагивает среду python-task-executor и позволяет обойти её ограничения, получив доступ к выполнению произвольных Python-команд на уровне операционной системы. Обе ошибки требуют предварительной авторизации, но даже в таком случае создают высокий риск — особенно в конфигурациях, где используется так называемый «внутренний» режим выполнения задач. Разработчики n8n предупреждают, что такой режим не обеспечивает должной изоляции между процессами платформы и исполняемых задач, и рекомендуют использовать «внешний» режим в продакшене.

По словам авторов отчёта, платформа n8n часто используется для автоматизации внутренних процессов на уровне всей компании — включая работу с API языковых моделей, данными продаж и внутренними системами управления доступом. В случае компрометации атакующий может получить практически неограниченные полномочия в инфраструктуре организации.

Для устранения рисков пользователям следует обновиться до безопасных версий. Для CVE-2026-1470 это 1.123.17, 2.4.5 или 2.5.1. Для CVE-2026-0863 — 1.123.14, 2.3.5 или 2.4.2.

Уязвимости были раскрыты спустя всего несколько недель после публикации данных о другой критической проблеме в n8n, получившей название Ni8mare и идентификатор CVE-2026-21858. Она позволяет неавторизованному злоумышленнику полностью захватить управление уязвимым экземпляром платформы. По данным фонда Shadowserver, на 27 января 2026 года уязвимыми остаются более 39 тысяч инстансов.

По мнению представителей JFrog, инцидент подчёркивает сложность изоляции интерпретаторов высокоуровневых языков вроде JavaScript и Python. Даже с множественными слоями проверки, списками запрещённых конструкций и механизмами на основе анализа синтаксического дерева остаются обходные пути, которые можно использовать для выхода из защищённой среды. В этом случае достаточными оказались устаревшие языковые конструкции, особенности работы интерпретатора и поведение при обработке исключений.