Интересно Ни дня без патча. Почему в n8n всё чаще и чаще находят критические уязвимости?

Admin

Admin

Администратор

Ни дня без патча. Почему в n8n всё чаще и чаще находят критические уязвимости?


1770321806040

RCE, XSS и инъекции в Git. Вот полный список дыр, которые обнаружили за последний месяц.


Вокруг платформы автоматизации рабочих процессов n8n снова возникла серьёзная история с безопасностью. В свежем предупреждении разработчики сообщили о критической уязвимости, которая при успешной атаке позволяет запускать на сервере произвольные системные команды.

Проблема получила идентификатор CVE-2026-25049 и оценку 9,4 по шкале CVSS. По сути, это обход ранее выпущенного исправления для CVE-2025-68613, другого критического дефекта, закрытого в декабре 2025 года. Недостаточная очистка данных в механизме вычисления выражений даёт возможность обойти ограничения песочницы n8n и добиться выполнения команд на хосте, где запущена платформа.

Для атаки нужен аутентифицированный пользователь, у которого есть права на создание или изменение рабочих процессов. При этом SecureLayer7 отдельно отмечает сценарий, который повышает риск, если задействовать веб-хуки n8n. Злоумышленник может подготовить рабочий процесс с публично доступным веб-хуком без аутентификации и добавить вредоносное выражение в параметры узла, после активации такой веб-хук становится точкой удалённого запуска команд.

Последствия сводятся не только к захвату сервера. Pillar Security описывает риски кражи API-ключей, ключей облачных провайдеров, паролей к базам данных и OAuth-токенов, а также доступ к файловой системе и внутренним ресурсам, включая связанные облачные аккаунты и цепочки автоматизации с ИИ-компонентами.

Endor Labs связывает причину дефекта с разрывом между проверками типов TypeScript на этапе компиляции и поведением JavaScript во время выполнения. Из-за этого проверка, рассчитанная на строковые значения, может обходиться данными другого типа, которые подсовывает атакующий.

Уязвимость затрагивает версии n8n ниже 1.123.17 и ниже 2.5.2, где она уже устранена. Если оперативное обновление невозможно, разумной мерой считается ограничить права на создание и редактирование рабочих процессов только полностью доверенным пользователям и запускать n8n в более жёстко изолированной среде с минимальными привилегиями и ограничениями по сети.

Одновременно n8n выпустила предупреждения ещё о нескольких дефектах. Среди них CVE-2026-25053 с оценкой 9.4, инъекция системных команд в узле Git, и CVE-2026-25056 с оценкой 9.4, риск записи произвольных файлов через режим SQL Query в узле Merge, оба сценария потенциально ведут к удалённому выполнению кода. Также отмечены CVE-2026-25054, сохранённый XSS в компоненте рендеринга markdown, и CVE-2026-25055, обход путей при передаче файлов через узел SSH.
 
Для ответа нужно войти/зарегистрироваться
Похожие темы
Admin Интересно Одна квартира — 55 жильцов. Хозяйка не знала ни об одном. Всех прописали через её «Госуслуги». Новости в сети 0
Admin Интересно Ни копейки не пропало, но система сломалась. Главное о подозрительной активности в сети USR. Новости в сети 0
Admin Интересно Ни маме позвонить, ни новости почитать. Зачем иранцев «заперли» в цифровой одиночной камере. Новости в сети 0
Admin Интересно Как захватить 900000 сайтов, не зная ни одного пароля. Пособие для тех, кто забывает обновлять WordPress. Новости в сети 0
Support81 Windows Downdate: ни одно обновление не спасёт ваш компьютер от кибератаки Новости в сети 0
Support81 Ни в коем случае: Mozilla выступила против законопроекта об интернет-цензуре во Франции Новости в сети 1
H Найдена уязвимость во всех версиях Windows, которую не закрывает ни один антивирус Новости в сети 0
Admin Интересно Microsoft раскритиковала публикацию уязвимостей нулевого дня. Новости в сети 0
Admin Интересно От водородной бомбы до Нобелевской премии мира: 105 лет со дня рождения Андрея Сахарова. Новости в сети 0
Admin Интересно Google выпустил обновление для Chrome, устраняющее уязвимость нулевого дня. Новости в сети 0
Admin Интересно Клиенты Nordstrom стали жертвами фишинговой атаки в честь Дня Святого Патрика. Новости в сети 0
Admin Интересно Google устранил две уязвимости нулевого дня в браузере Chrome. Новости в сети 0
Admin Интересно Перекинул файл по AirDrop и остался без миллионов. История одного очень неудачного рабочего дня. Новости в сети 0
GROHA Telegram soft — TG-GIANT | Бесплатный тест на 2 дня | Более 15 функций | Поддержка 24/7 | Самый стабильный на рынке | Многопоточность | Комьюнити Готовый софт 6
Support81 Хакеры захватили 8,7 млн WordPress-сайтов за два дня — атакуют через критические уязвимости в популярных плагинах Новости в сети 0
Support81 3 дня, 12 компаний, 400 ГБ данных: Akira выжигает бизнес за бизнесом Новости в сети 0
Support81 МВД требует срочных полномочий — банкам дадут три дня на ответ, а полиции — доступ к звонкам Новости в сети 0
Support81 Эксплойт дня: как баг в кsthunk.sys превращается в цифровое оружие Новости в сети 0
Support81 Пользователи Windows, будьте осторожны: DarkGate использует уязвимость нулевого дня Новости в сети 0
X Получаем бесплатный дедик на 3 дня [2020] Раздачи и сливы 3
Sasha3108 Раздача токенов WOOX (конец через 2 дня) Способы заработка 0
B Изучаем основы Java за 2 дня Основы ООП на Java. Экстремальное погружение Полезные статьи 0
АнАлЬнАя ЧуПаКаБрА 535958 Валида за 23 дня (22.10.2019-13.11.2019) Раздачи и сливы 0
Х 300$ за 3 дня Способы заработка 4
V Как за 3 часа успевать больше, чем другие успевают за 3 дня Способы заработка 1
I СТАВКА ДНЯ!НА ВЕЧЕР! Раздачи и сливы 0
I СТАВКА ДНЯ!НА ВЕЧЕР! Раздачи и сливы 0
G Ошибка нулевого дня Полезные статьи 0
Z Подборка средств для анонимного общения на случай судного дня Анонимность и приватность 2
R 20 полезных навыков, которые можно освоить за 3 дня Программирование 20
VAVAN Дедик на 3 дня бесплатно Раздачи и сливы 0
Admin Интересно Работа из дома оставила выпускников без работы. Новости в сети 0
Admin Интересно Новая уязвимость в Android позволяет взломать смартфон без единого клика. Новости в сети 0
Admin Интересно КНДР обманывает программистов, Китай следит за нефтью, а иранские хакеры сидят без интернета. ESET подвела итоги полугодия. Новости в сети 0
Admin Интересно ИИ может заблокировать вашу карту за 200 миллисекунд без объяснений. Новости в сети 0
Admin Интересно Роботы в токийской лаборатории выполняют эксперименты без участия людей. Новости в сети 0
Admin Интересно Uber потратил весь годовой бюджет на ИИ за четыре месяца без видимых результатов. Новости в сети 0
Admin Интересно Как управлять скрытыми ИИ-инструментами без замедления работы сотрудников. Новости в сети 0
Admin Интересно Уязвимость в Gitea позволяет получать приватные контейнерные образы без аутентификации. Новости в сети 0
Admin Интересно Вышла OpenBSD 7.9 с поддержкой 255 ядер и без Bluetooth. Новости в сети 0
Admin Интересно Роботам тут не рады. Платформа npm больше не доверяет автоматическим сборкам без одобрения человека. Новости в сети 0
Admin Интересно Huawei представила новый способ создания более быстрых чипов без передовых технологий США. Новости в сети 0
Admin Интересно Исследование уязвимостей драйверов Windows без необходимости в физическом оборудовании. Новости в сети 0
Admin Интересно Google заблокировал Railway без предупреждения, основатель в шоке. Новости в сети 0
Admin Интересно Один 0day — и страна без связи. Неизвестная уязвимость в Huawei затронула телеком Люксембурга. Новости в сети 0
Admin Интересно Роботы Figure AI теперь работают по 8 часов без перерывов. Новости в сети 0
Admin Интересно Как автоматизация ИБ закрывает угрозы без рутины. Новости в сети 0
Admin Интересно Гелиевая лихорадка на Луне. Почему следующая квантовая революция невозможна без добычи изотопов из лунной пыли. Новости в сети 0
Admin Интересно Дрон Greyshark способен находиться под водой до 16 недель без экипажа и дозаправки. Новости в сети 0
Admin Интересно Россияне боятся остаться без связи больше, чем без здоровья. Новости в сети 0

Название темы