Исследователи в области кибербезопасности подтвердили публикацию рабочего эксплойта (PoC, Proof-of-Concept) для уязвимости CVE-2025-68613. Эта критическая ошибка, позволяющая выполнять удаленный код (RCE, Remote Code Execution), затрагивает платформу автоматизации рабочих процессов n8n. Уязвимость получила максимально возможный балл 10.0 по шкале CVSS и затрагивает версии от v0.211.0 до v1.120.3.
Детали уязвимости
Платформа n8n широко используется в корпоративной среде для автоматизации ключевых бизнес-процессов и интеграции с внутренними системами, API и облачными сервисами. Обнаруженная уязвимость позволяет аутентифицированным пользователям выполнять произвольные команды на базовом сервере. Следовательно, злоумышленник может скомпрометировать всю инфраструктуру.
Причиной проблемы стало некорректное вычисление JavaScript-выражений. Система n8n обрабатывает пользовательский ввод, заключенный в двойные фигурные скобки {{ }}, как код JavaScript на стороне сервера. Однако среда выполнения не имеет достаточной изоляции. По данным компании SecureLayer7, злоумышленники могут использовать эту особенность для доступа к объекту процесса Node.js и загрузки системных модулей, таких как "child_process". Это, в свою очередь, позволяет напрямую выполнять команды на хост-системе.
Для успешной атаки злоумышленнику требуется лишь учетная запись в n8n, даже с низким уровнем привилегий, и возможность создавать или редактировать рабочие процессы. Эксплойт может быть развернут через несколько векторов атаки. Например, через редактор рабочих процессов путем внедрения вредоносных выражений напрямую в поля узлов. Другой вариант - отправка специально созданных полезных нагрузок (payload) через API для создания рабочих процессов. Также опасность представляют вебхук-триггеры, в которые можно внедрить код, и импортированные шаблоны рабочих процессов, способные скрывать вредоносную логику.
Успешная эксплуатация уязвимости предоставляет полный доступ к системе. В результате злоумышленники могут похитить переменные окружения, содержащие API-ключи и учетные данные баз данных. Кроме того, они получают возможность читать конфиденциальные файлы, устанавливать скрытые бэкдоры для сохранения доступа (persistence) и продвигаться глубже в подключенные системы.
Организациям, использующим уязвимые версии n8n, следует немедленно начать установку обновлений безопасности. Исправления уже включены в версии v1.120.4, v1.121.1, v1.122.0 и более поздние релизы. До применения патчей рекомендуется внедрить меры обнаружения. Специалистам следует мониторить журналы рабочих процессов на наличие подозрительных выражений, содержащих "process.mainModule.require", "child_process" или "execSync".
Командам, отвечающим за сетевую инфраструктуру, необходимо ограничить внешний доступ к экземплярам n8n. Также важно минимизировать права пользователей, предоставив их только доверенным учетным записям. Параллельно стоит провести аудит журналов создания и изменения рабочих процессов за последний период на предмет подозрительной активности.
Сотрудникам службы безопасности в обязательном порядке нужно пересмотреть конфигурации переменных окружения. Все скомпрометированные учетные данные в подключенных базах данных и облачных платформах подлежат немедленной ротации. Публикация публичного эксплойта резко сокращает время до начала активных атак. Учитывая критический характер этой уязвимости и ее распространенность в средах автоматизации, массовая эксплуатация в реальных условиях ожидается в кратчайшие сроки.
Таким образом, командам безопасности и DevOps следует рассматривать эту ситуацию как инцидент высшего приоритета, требующий немедленного устранения. Промедление с установкой исправлений или реализацией компенсирующих мер создает прямой риск для всей корпоративной инфраструктуры.
Ссылки
- https://blog.securelayer7.net/cve-2025-68613-n8n-rce-exploitation/
- https://www.cve.org/CVERecord?id=CVE-2025-68613
