Фонд Shadowserver сообщил об обнаружении критической уязвимости типа Remote Code Execution (RCE, удалённое выполнение кода) в популярной платформе для автоматизации рабочих процессов n8n. Отчёт указывает, что более 100 тысяч экземпляров программного обеспечения, доступных из интернета, могут быть атакованы без необходимости аутентификации.
Детали уязвимости
Уязвимость получила идентификатор CVE-2026-21858 и максимально возможный балл критичности 10.0 по шкале CVSS. Она позволяет злоумышленникам выполнять произвольный код на уязвимых серверах n8n. По данным сканирования на 9 января 2026 года, из 230 562 обнаруженных IP-адресов с развёрнутым n8n уязвимыми оказались 105 753, что составляет почти 46% от общего числа. Столь широкое распространение уязвимых систем свидетельствует о серьёзных пробелах в практиках безопасности при развёртывании этого решения.
n8n - это мощный инструмент для оркестрации рабочих процессов, который часто интегрируется с корпоративными системами, базами данных и облачными сервисами. Следовательно, успешная эксплуатация данной уязвимости может привести к катастрофическим последствиям. Злоумышленники могут получить полный контроль над сервером, похитить конфиденциальные бизнес-данные, скомпрометировать учётные данные для доступа к другим системам или развернуть вредоносное ПО, такое как программы-шифровальщики. Учитывая, что для атаки не требуются учётные данные, угроза является чрезвычайно актуальной.
Эксперты по безопасности настоятельно рекомендуют администраторам, использующим n8n, немедленно принять меры. В первую очередь необходимо проверить, доступен ли экземпляр платформы из глобальной сети, и установить все доступные патчи от разработчика.
Кроме того, специалисты советуют пересмотреть конфигурацию развёртывания подобных платформ автоматизации. Как правило, их доступ в интернет не является необходимым для внутренних рабочих процессов. Таким образом, одним из ключевых способов снижения риска является изоляция таких систем внутри корпоративной сети с использованием VPN или других механизмов безопасного доступа. Регулярные проверки безопасности и своевременное обновление программного обеспечения должны стать неотъемлемой частью политики управления ИТ-инфраструктурой.
Этот инцидент ярко иллюстрирует постоянную проблему безопасности интернет-ориентированных приложений с высокими привилегиями. Платформы вроде n8n, которые созданы для взаимодействия с множеством других сервисов, по своей природе становятся привлекательной целью для киберпреступников и групп APT (Advanced Persistent Threat, устойчивая целевая угроза). Обнаружение уязвимости такого масштаба служит серьёзным напоминанием для организаций о критической важности проактивного мониторинга угроз и строгого следования принципам безопасной настройки.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-21858
- https://nvd.nist.gov/vuln/detail/CVE-2026-21858
- https://github.com/n8n-io/n8n/security/advisories/GHSA-v4pr-fm98-w9pg
- https://www.cyera.com/research-labs/ni8mare-unauthenticated-remote-code-execution-in-n8n-cve-2026-21858
