В сфере информационной безопасности новое появление записи в официальном каталоге активно эксплуатируемых уязвимостей (Known Exploited Vulnerabilities) Агентства по кибербезопасности и инфраструктурной безопасности США (CISA) всегда является тревожным сигналом. Это означает, что государственные эксперты обнаружили реальные свидетельства того, что злоумышленники уже используют конкретную "дыру" в своих атаках. На этой неделе в список попала критическая проблема в популярной платформе для автоматизации рабочих процессов n8n, что должно привлечь внимание как корпоративных пользователей этого решения, так и специалистов по защите данных.
Уязвимость CVE-2025-68613
Центром внимания стала уязвимость, зарегистрированная под идентификатором CVE-2025-68613. Её суть заключается в возможности выполнения произвольного кода (Remote Code Execution) через механизм выражений в системе оценки логики рабочих процессов n8n. Согласно описанию, начиная с версии 0.211.0 и вплоть до версий 1.120.4, 1.121.1 и 1.122.0, механизм оценки выражений, которые могут задавать авторизованные пользователи при настройке рабочих процессов, работает в недостаточно изолированном контексте. Это создаёт предпосылки для того, чтобы злоумышленник, имеющий учётную запись в системе, мог выйти за рамки разрешённых операций и выполнить произвольные команды на уровне операционной системы, под правами процесса n8n.
Фактически, данная проблема относится к классу CWE-913, что означает неправильный контроль над динамически управляемыми ресурсами кода. Присвоенный уровень опасности CVSS 3.1 составляет максимальные 10.0 баллов, что подчёркивает критичность ситуации. Вектор атаки классифицирован как сетевой, не требующий сложных условий для эксплуатации и взаимодействия с пользователем, но при этом подразумевающий наличие авторизации низкого уровня. Последствия успешной атаки являются катастрофическими: полный компрометация экземпляра n8n, несанкционированный доступ к конфиденциальным данным, которые обрабатываются в рабочих процессах, модификация самих автоматизаций и выполнение команд на уровне сервера.
Добавление этой уязвимости в каталог KEV CISA - это не просто техническое уведомление. Это прямое указание на то, что киберпреступные группы или хакеры, мотивированные иными целями, уже включили эксплойт для CVE-2025-68613 в свой арсенал и применяют его в реальных атаках. Для организаций, использующих уязвимые версии n8n, это переводит угрозу из теоретической в практическую плоскость. Платформа n8n часто используется для интеграции различных бизнес-систем, включая CRM, ERP, базы данных и облачные сервисы, что делает её привлекательной целью. Через скомпрометированный экземпляр злоумышленники могут получить доступ к потокам данных между критически важными приложениями компании.
Разработчики n8n уже выпустили исправления в версиях 1.120.4, 1.121.1 и 1.122.0. Основное обновление вводит дополнительные механизмы защиты, которые ограничивают контекст выполнения выражений, предотвращая выход за установленные границы. В свою очередь, руководство CISA, как и вендор, настоятельно рекомендуют всем пользователям немедленно обновиться до защищённой версии. Если же быстрое обновление по каким-либо причинам невозможно, администраторам следует рассмотреть временные меры по снижению рисков. К ним относятся строгое ограничение прав на создание и редактирование рабочих процессов, предоставление таких полномочий только полностью доверенным пользователям, а также развёртывание n8n в максимально изолированном окружении с минимальными привилегиями на уровне операционной системы и ограниченным сетевым доступом.
Важно понимать, что эти обходные пути не устраняют уязвимость полностью, а лишь усложняют её эксплуатацию или ограничивают потенциальный ущерб. Они должны рассматриваться исключительно как краткосрочное решение на пути к обязательному применению патча. Для специалистов по безопасности данный инцидент служит очередным напоминанием о рисках, связанных с системами, позволяющими выполнять пользовательский код или сложные выражения. Необходим тщательный аудит подобных платформ в корпоративной среде, мониторинг активности пользователей с привилегиями на изменение логики автоматизаций и сегментация сетевого периметра для критичных компонентов ИТ-инфраструктуры. Только комплексный подход, сочетающий своевременное обновление программного обеспечения с принципами минимальных привилегий и сегментации, может эффективно противостоять подобным угрозам.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-68613
- https://github.com/n8n-io/n8n/security/advisories/GHSA-v98v-ff95-f3cp
- https://github.com/n8n-io/n8n/commit/08f332015153decdda3c37ad4fcb9f7ba13a7c79
- https://github.com/n8n-io/n8n/commit/1c933358acef527ff61466e53268b41a04be1000
- https://github.com/n8n-io/n8n/commit/39a2d1d60edde89674ca96dcbb3eb076ffff6316
- https://www.cisa.gov/news-events/alerts/2026/03/11/cisa-adds-one-known-exploited-vulnerability-catalog
