В n8n закрыты критическая RCE и ещё 13 уязвимостей в платформе автоматизации

n8n

Разработчики n8n выпустили несколько обновлений, устраняющих более десятка уязвимостей в платформе для автоматизации рабочих процессов. Большинство из них получили критические и высокие оценки, а часть - например, уязвимости в JavaScript Task Runner и Python Code Node - позволяли удалённо выполнять код на сервере. О проблемах сообщили независимые исследователи, в том числе представители NATO Cyber Security Centre.

Детали уязвимостей

Выпущенные на этой неделе версии 2.10.1, 2.9.3 и 1.123.22 закрывают серию брешей, затрагивающих как ядро платформы, так и отдельные узлы (nodes). Среди наиболее опасных - уязвимости, связанные с обходом песочницы в задании JavaScript (CVE-2026-27495, CVSS v4 9.4) и коде Python (CVE-2026-27494, CVSS v4 7.1). Аутентифицированный пользователь с правом создания или изменения рабочих процессов мог через эти точки выполнить произвольный код за пределами изолированной среды. На инстанциях, где используются внутренние Task Runners, это вело к полному захвату хоста. При внешних раннерах атакующий мог получить доступ к другим задачам, выполняемым на том же раннере.

Ещё одна критическая проблема была найдена в узле Merge (CVE-2026-27497, CVSS v4 9.4). С помощью его SQL-режима аутентифицированный пользователь мог не только выполнять произвольные запросы, но и записывать файлы на сервере, что открывало путь к выполнению команд. Уязвимость CVE-2026-27577 (CVSS v4 9.4) относится к механизму обработки выражений - после того, как в декабре 2025 года была исправлена сходная RCE (CVE-2025-68613), в коде оставались дополнительные точки входа, позволяющие с помощью специально сконструированных выражений инициировать выполнение системных команд.

Отдельного внимания заслуживает уязвимость в узле Form, получившая идентификатор CVE-2026-27493 (CVSS v4 9.5). При определённой конфигурации рабочего процесса неаутентифицированный атакующий мог внедрить и выполнить произвольные выражения n8n через отправку специально оформленных данных формы. В сочетании с другой уязвимостью обхода песочницы это вело к удалённому выполнению кода. Разработчики отметили, что для успешной атаки требуются маловероятные условия настройки, поэтому реальный уровень опасности был оценён как высокий, а не критический.

Несколько менее серьёзных, но всё же значимых проблем было устранено в узлах, отвечающих за приём вебхуков. Узел GitHub Webhook Trigger (патчи в версиях 2.5.0 и 1.123.15) и узел ZendeskTrigger (исправлен в 2.6.2 и 1.123.18) не проверяли HMAC-SHA256 подпись, которую службы прикрепляют к исходящим запросам. Это позволяло злоумышленнику, знающему URL вебхука, отправлять произвольные POST-запросы и запускать рабочие процессы без аутентификации.

В узле Chat Trigger (исправлен в 2.10.1, 2.9.3 и 1.123.22) была найдена уязвимость обхода аутентификации: при настройке проверки через n8n User Auth злоумышленник мог обойти проверку и получить доступ к чату. Другая проблема, затрагивающая систему единого входа (SSO), позволяла пользователю, вошедшему через SSO, отключить принудительное использование единой аутентификации для своей учётной записи через API. Исправление этой бреши вышло в версии 2.8.0.

К категории модератных отнесены SQL-инъекции в узлах MySQL, PostgreSQL и Microsoft SQL (патч в версии 2.4.0), а также обход защитных инструкций узла Guardrail (2.10.0). Кроме того, в нескольких предыдущих версиях была обнаружена уязвимость, связанная с записью файлов и последующими git-операциями (CVE-2026-27498, CVSS v4 9.0), которая также позволяла выполнять команды оболочки. Это исправлено в версиях 2.2.0 и 1.123.8.

Разработчики подчеркнули, что большинство критических проблем требуют аутентификации пользователя на платформе. Однако наличие таких уязвимостей несёт серьёзные риски для организаций, использующих n8n для автоматизации внутренних процессов. В случае компрометации учётной записи с правами на редактирование рабочих процессов атакующий мог бы получить полный контроль над сервером, изменить логику автоматизации или извлечь конфиденциальные данные.

Для администраторов, которые не могут немедленно обновиться, предусмотрены временные меры защиты. Рекомендуется ограничить права на создание и изменение рабочих процессов только доверенными пользователями, а также отключить уязвимые узлы через переменную окружения NODES_EXCLUDE. В качестве дополнительного барьера можно развернуть n8n в изолированной среде с ограниченным доступом к сети и операционной системе.

Серия выпущенных патчей охватывает все основные версии продукта, начиная с 0.211.0. Пользователям настоятельно рекомендуется установить последние обновления, чтобы минимизировать поверхность атаки.

Ссылки

Комментарии: 0