Платформа n8n для автоматизации рабочих процессов стала объектом пристального внимания специалистов по кибербезопасности. Исследователи обнаружили набор критических уязвимостей, которые при комбинировании открывают злоумышленникам возможность удаленного выполнения кода (RCE, то есть удаленного запуска произвольных команд) на сервере. Проблемы затрагивают версии до 1.123.43, 2.20.7 и 2.22.1. Для эксплуатации требуется аутентификация, но хватает привилегий низкого уровня. Это делает уязвимости особенно опасными в средах, где несколько пользователей могут создавать или редактировать рабочие процессы.
Детали уязвимостей
Самая серьезная брешь зарегистрирована под идентификатором CVE-2026-44789. Она затрагивает узел HTTP-запросов. Исследователь Jubke выяснил, что проблема возникает из-за некорректной проверки параметра пагинации. Это позволяет атакующему применить технику загрязнения прототипов, то есть изменить поведение глобального объекта в JavaScript-приложениях. При успешной эксплуатации злоумышленник может повредить логику работы всех рабочих процессов. В сочетании с другими методами это ведет к выполнению произвольного кода на сервере. Эксперты отмечают, что загрязнение прототипов особенно опасно в инструментах автоматизации вроде n8n, где рабочие процессы часто обрабатывают динамические данные из разных источников.
Вторая критическая уязвимость CVE-2026-44790 связана с узлом Git. Она позволяет атакующему внедрять вредоносные аргументы в командную строку во время операций Git, а именно при отправке изменений. Используя это, злоумышленник может читать произвольные файлы с сервера. Чувствительные данные, такие как конфигурационные файлы, ключи API или учетные записи, оказываются доступными. Это ведет к полной компрометации системы. Данная уязвимость классифицируется как CWE-88 (инъекция аргументов), что указывает на некорректную обработку параметров командной строки, передаваемых системным операциям.
Третья уязвимость CVE-2026-44791 представляет собой обход ранее выпущенного исправления для узла XML. Исследователи обнаружили, что предыдущие исправления известной проблемы загрязнения прототипов можно обойти. Это означает, что атакующие все еще могут манипулировать прототипами объектов через логику обработки XML. В сочетании с другими уязвимостями это снова открывает путь к удаленному выполнению кода.
Все три уязвимости получили высокие оценки по шкале CVSS (система оценки критичности уязвимостей, учитывающая влияние на конфиденциальность, целостность и доступность). Вектор атаки сетевой, требует низких привилегий и не нуждается во взаимодействии с пользователем. Простыми словами, злоумышленник с базовым доступом к созданию рабочих процессов может захватить полный контроль над экземпляром n8n.
Разработчики n8n уже выпустили исправления для всех описанных проблем. Пользователям настоятельно рекомендуют как можно скорее обновиться до версий 1.123.43, 2.20.7, 2.22.1 или более поздних. В тех средах, где немедленное обновление невозможно, временные меры включают ограничение прав на создание и редактирование рабочих процессов только доверенными пользователями, а также отключение уязвимых узлов (HTTP-запросы, Git, XML) через переменную окружения NODES_EXCLUDE. Однако эти обходные меры не устраняют риск полностью.
Представьте себе общую среду автоматизации, которую использует команда DevOps. Если злоумышленник получает доступ к учетной записи пользователя с низкими привилегиями, он создает вредоносный рабочий процесс, эксплуатирующий эти уязвимости. В течение нескольких минут он извлекает секреты, изменяет процессы или выполняет команды непосредственно на сервере, не вызывая очевидных тревог. Именно такой сценарий наиболее реалистичен для типичной корпоративной инфраструктуры, где автоматизация охватывает множество микросервисов и интеграций.
Почему эта новость важна? Платформа n8n с открытым исходным кодом набирает популярность благодаря гибкости: она позволяет связывать облачные сервисы, базы данных, API и внутренние инструменты в единые сценарии. Если злоумышленник берет под контроль такой центральный узел, он получает ключи ко всей цепочке обработки данных. Компании, использующие n8n для критичных операций (например, обработка платежей, синхронизация клиентских данных), рискуют потерять контроль над информацией и столкнуться с длительным простоем.
Специалисты подчеркивают, что подобные находки напоминают о важности строгих ролевых политик. Даже если пользователь обладает правом только на создание рабочих процессов, при наличии уязвимостей эти права могут превратиться в вектор атаки. Поэтому ограничение доступа к редактору рабочих процессов, многофакторная аутентификация и быстрая установка патчей должны стать стандартными процедурами. В данном случае обновление закрывает все три уязвимости, и задержка с его внедрением может стоить компании безопасности.
Таким образом, критическая комбинация проблем в n8n подчеркивает: автоматизация не должна превращаться в слепое доверие. Каждое новое расширение или узел потенциально расширяет поверхность атаки. Исследователи ожидают, что в ближайшее время появятся публичные эксплойты, использующие описанную цепочку уязвимостей. Администраторам следует проверить версии своих систем и немедленно применить исправления, пока злоумышленники не начали массовые атаки.
Ссылки
- https://github.com/n8n-io/n8n/security/advisories/GHSA-wrwr-h859-xh2r
- https://github.com/n8n-io/n8n/security/advisories/GHSA-57g9-58c2-xjg3
- https://github.com/n8n-io/n8n/security/advisories/GHSA-c8xv-5998-g76h
