Подписаться на науку
Image

Это только демо-версия будущего...

Загляните за горизонт событий. Самые смелые инновации и технологии завтрашнего дня уже в канале.

Ни дня без патча. Почему в n8n всё чаще и чаще находят критические уязвимости?

leer en español

n8n CVE-2026-25049 Endor Labs Pillar Security SecureLayer7 RCE
Ни дня без патча. Почему в n8n всё чаще и чаще находят критические уязвимости?
n8n CVE-2026-25049 Endor Labs Pillar Security SecureLayer7 RCE

RCE, XSS и инъекции в Git. Вот полный список дыр, которые обнаружили за последний месяц.

image

Вокруг платформы автоматизации рабочих процессов n8n снова возникла серьёзная история с безопасностью. В свежем предупреждении разработчики сообщили о критической уязвимости, которая при успешной атаке позволяет запускать на сервере произвольные системные команды.

Проблема получила идентификатор CVE-2026-25049 и оценку 9,4 по шкале CVSS. По сути, это обход ранее выпущенного исправления для CVE-2025-68613, другого критического дефекта, закрытого в декабре 2025 года. Недостаточная очистка данных в механизме вычисления выражений даёт возможность обойти ограничения песочницы n8n и добиться выполнения команд на хосте, где запущена платформа.

Для атаки нужен аутентифицированный пользователь, у которого есть права на создание или изменение рабочих процессов. При этом SecureLayer7 отдельно отмечает сценарий, который повышает риск, если задействовать веб-хуки n8n. Злоумышленник может подготовить рабочий процесс с публично доступным веб-хуком без аутентификации и добавить вредоносное выражение в параметры узла, после активации такой веб-хук становится точкой удалённого запуска команд.

Последствия сводятся не только к захвату сервера. Pillar Security описывает риски кражи API-ключей, ключей облачных провайдеров, паролей к базам данных и OAuth-токенов, а также доступ к файловой системе и внутренним ресурсам, включая связанные облачные аккаунты и цепочки автоматизации с ИИ-компонентами.

Endor Labs связывает причину дефекта с разрывом между проверками типов TypeScript на этапе компиляции и поведением JavaScript во время выполнения. Из-за этого проверка, рассчитанная на строковые значения, может обходиться данными другого типа, которые подсовывает атакующий.

Уязвимость затрагивает версии n8n ниже 1.123.17 и ниже 2.5.2, где она уже устранена. Если оперативное обновление невозможно, разумной мерой считается ограничить права на создание и редактирование рабочих процессов только полностью доверенным пользователям и запускать n8n в более жёстко изолированной среде с минимальными привилегиями и ограничениями по сети.

Одновременно n8n выпустила предупреждения ещё о нескольких дефектах. Среди них CVE-2026-25053 с оценкой 9.4, инъекция системных команд в узле Git, и CVE-2026-25056 с оценкой 9.4, риск записи произвольных файлов через режим SQL Query в узле Merge, оба сценария потенциально ведут к удалённому выполнению кода. Также отмечены CVE-2026-25054, сохранённый XSS в компоненте рендеринга markdown, и CVE-2026-25055, обход путей при передаче файлов через узел SSH.