Разработчики платформы автоматизации рабочих процессов n8n выпустили экстренные обновления безопасности для устранения критической уязвимости, позволяющей выполнять произвольный код на хост-системе. Уязвимость, получившая идентификатор CVE-2026-25049, затрагивает механизм обработки выражений и может привести к полной компрометации инфраструктуры. Это второе серьёзное нарушение безопасности, обнаруженное в движке выражений n8n за короткий период, что указывает на пристальное внимание исследователей к данной компоненте.
Детали уязвимости
Суть уязвимости заключается в недостаточной проверке входных данных при обработке выражений в параметрах рабочих процессов. Атака, ведущая к удалённому выполнению кода (RCE), становится возможной из-за ошибки, позволяющей выйти из песочницы, предназначенной для безопасной оценки выражений. В результате злоумышленник может выполнить произвольные команды операционной системы. Хотя для эксплуатации требуется аутентификация, необходимый уровень привилегий крайне низок. Фактически, любой пользователь с правами на создание или редактирование рабочих процессов, что является стандартной ролью в командах разработки и эксплуатации, может воспользоваться этой брешью.
Последствия успешной атаки особенно опасны из-за роли n8n как ключевого звена интеграции. Поскольку платформа часто выступает оркестратором, соединяющим различные API, базы данных и облачные сервисы, её компрометация открывает доступ к конфиденциальным данным. В частности, злоумышленники могут получить чувствительные учётные данные, ключи API и возможность перемещения по внутренней сети. Следовательно, одна уязвимость в центральном компоненте автоматизации может поставить под угрозу всю связанную с ним инфраструктуру.
Важно отметить, что для оценки серьёзности этой угрозы n8n использовала новую систему оценки CVSS 4.0. Уязвимость получила высокий рейтинг воздействия на конфиденциальность, целостность и доступность как целевой системы, так и связанных с ней систем. Этот высокий балл отражает реальный риск латерального перемещения атакующих из скомпрометированного сервера автоматизации в другие сегменты корпоративной сети.
Компания уже выпустила исправленные версии 1.123.17 и 2.5.2 для двух основных веток разработки. Администраторам настоятельно рекомендуется немедленно обновить свои инсталляции до этих версий. Если быстрое обновление невозможно, специалисты по кибербезопасности советуют применить временные меры. Во-первых, необходимо строго ограничить круг лиц, имеющих право создавать и изменять рабочие процессы. Во-вторых, следует обеспечить работу экземпляра n8n с минимально необходимыми привилегиями в операционной системе и ограничить исходящие сетевые соединения, чтобы сократить потенциальный ущерб в случае атаки.
Обнаружение этой уязвимости, как и предыдущей CVE-2025-68613, является результатом работы сообщества исследователей безопасности. Уязвимость была независимо выявлена и сообщена несколькими экспертами, включая fatihhcelik, eilonc-pillar, cristianstaicu и sandeepl337. Их активная работа подчёркивает, что инструменты автоматизации, подобные n8n, находятся под пристальным наблюдением из-за их критически важной роли в современных IT-ландшафтах. Регулярный аудит кода и оперативное устранение подобных проблем становятся обязательными требованиями для поддержания доверия к платформам интеграции.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-25049
- https://github.com/n8n-io/n8n/security/advisories/GHSA-6cqr-8cfr-67f8
- https://github.com/n8n-io/n8n/commit/7860896909b3d42993a36297f053d2b0e633235d
- https://github.com/n8n-io/n8n/commit/936c06cfc1ad269a89e8ef7f8ac79c104436d54b
