Интересно Ни дня без патча. Почему в n8n всё чаще и чаще находят критические уязвимости?

Admin

Admin

Администратор

Ни дня без патча. Почему в n8n всё чаще и чаще находят критические уязвимости?


1770321806040

RCE, XSS и инъекции в Git. Вот полный список дыр, которые обнаружили за последний месяц.


Вокруг платформы автоматизации рабочих процессов n8n снова возникла серьёзная история с безопасностью. В свежем предупреждении разработчики сообщили о критической уязвимости, которая при успешной атаке позволяет запускать на сервере произвольные системные команды.

Проблема получила идентификатор CVE-2026-25049 и оценку 9,4 по шкале CVSS. По сути, это обход ранее выпущенного исправления для CVE-2025-68613, другого критического дефекта, закрытого в декабре 2025 года. Недостаточная очистка данных в механизме вычисления выражений даёт возможность обойти ограничения песочницы n8n и добиться выполнения команд на хосте, где запущена платформа.

Для атаки нужен аутентифицированный пользователь, у которого есть права на создание или изменение рабочих процессов. При этом SecureLayer7 отдельно отмечает сценарий, который повышает риск, если задействовать веб-хуки n8n. Злоумышленник может подготовить рабочий процесс с публично доступным веб-хуком без аутентификации и добавить вредоносное выражение в параметры узла, после активации такой веб-хук становится точкой удалённого запуска команд.

Последствия сводятся не только к захвату сервера. Pillar Security описывает риски кражи API-ключей, ключей облачных провайдеров, паролей к базам данных и OAuth-токенов, а также доступ к файловой системе и внутренним ресурсам, включая связанные облачные аккаунты и цепочки автоматизации с ИИ-компонентами.

Endor Labs связывает причину дефекта с разрывом между проверками типов TypeScript на этапе компиляции и поведением JavaScript во время выполнения. Из-за этого проверка, рассчитанная на строковые значения, может обходиться данными другого типа, которые подсовывает атакующий.

Уязвимость затрагивает версии n8n ниже 1.123.17 и ниже 2.5.2, где она уже устранена. Если оперативное обновление невозможно, разумной мерой считается ограничить права на создание и редактирование рабочих процессов только полностью доверенным пользователям и запускать n8n в более жёстко изолированной среде с минимальными привилегиями и ограничениями по сети.

Одновременно n8n выпустила предупреждения ещё о нескольких дефектах. Среди них CVE-2026-25053 с оценкой 9.4, инъекция системных команд в узле Git, и CVE-2026-25056 с оценкой 9.4, риск записи произвольных файлов через режим SQL Query в узле Merge, оба сценария потенциально ведут к удалённому выполнению кода. Также отмечены CVE-2026-25054, сохранённый XSS в компоненте рендеринга markdown, и CVE-2026-25055, обход путей при передаче файлов через узел SSH.
 
Для ответа нужно войти/зарегистрироваться
Похожие темы
Admin Интересно Ни копейки не пропало, но система сломалась. Главное о подозрительной активности в сети USR. Новости в сети 0
Admin Интересно Ни маме позвонить, ни новости почитать. Зачем иранцев «заперли» в цифровой одиночной камере. Новости в сети 0
Admin Интересно Как захватить 900000 сайтов, не зная ни одного пароля. Пособие для тех, кто забывает обновлять WordPress. Новости в сети 0
Support81 Windows Downdate: ни одно обновление не спасёт ваш компьютер от кибератаки Новости в сети 0
Support81 Ни в коем случае: Mozilla выступила против законопроекта об интернет-цензуре во Франции Новости в сети 1
H Найдена уязвимость во всех версиях Windows, которую не закрывает ни один антивирус Новости в сети 0
Admin Интересно Google выпустил обновление для Chrome, устраняющее уязвимость нулевого дня. Новости в сети 0
Admin Интересно Клиенты Nordstrom стали жертвами фишинговой атаки в честь Дня Святого Патрика. Новости в сети 0
Admin Интересно Google устранил две уязвимости нулевого дня в браузере Chrome. Новости в сети 0
Admin Интересно Перекинул файл по AirDrop и остался без миллионов. История одного очень неудачного рабочего дня. Новости в сети 0
GROHA Telegram soft — TG-GIANT | Бесплатный тест на 2 дня | Более 15 функций | Поддержка 24/7 | Самый стабильный на рынке | Многопоточность | Комьюнити Готовый софт 6
Support81 Хакеры захватили 8,7 млн WordPress-сайтов за два дня — атакуют через критические уязвимости в популярных плагинах Новости в сети 0
Support81 3 дня, 12 компаний, 400 ГБ данных: Akira выжигает бизнес за бизнесом Новости в сети 0
Support81 МВД требует срочных полномочий — банкам дадут три дня на ответ, а полиции — доступ к звонкам Новости в сети 0
Support81 Эксплойт дня: как баг в кsthunk.sys превращается в цифровое оружие Новости в сети 0
Support81 Пользователи Windows, будьте осторожны: DarkGate использует уязвимость нулевого дня Новости в сети 0
X Получаем бесплатный дедик на 3 дня [2020] Раздачи и сливы 3
Sasha3108 Раздача токенов WOOX (конец через 2 дня) Способы заработка 0
B Изучаем основы Java за 2 дня Основы ООП на Java. Экстремальное погружение Полезные статьи 0
АнАлЬнАя ЧуПаКаБрА 535958 Валида за 23 дня (22.10.2019-13.11.2019) Раздачи и сливы 0
Х 300$ за 3 дня Способы заработка 4
V Как за 3 часа успевать больше, чем другие успевают за 3 дня Способы заработка 1
I СТАВКА ДНЯ!НА ВЕЧЕР! Раздачи и сливы 0
I СТАВКА ДНЯ!НА ВЕЧЕР! Раздачи и сливы 0
G Ошибка нулевого дня Полезные статьи 0
Z Подборка средств для анонимного общения на случай судного дня Анонимность и приватность 2
R 20 полезных навыков, которые можно освоить за 3 дня Программирование 20
VAVAN Дедик на 3 дня бесплатно Раздачи и сливы 0
Admin Интересно Батарейка на ядерном распаде обещает работать 100 лет без замены. Новости в сети 0
Admin Интересно Mac болтает без умолку, а Linux молчит. Разработчик Little Snitch искал тишину и нашел её в Ubuntu. Новости в сети 0
Admin Интересно Google разрешила пользователям в США менять адрес Gmail без создания нового аккаунта. Новости в сети 0
Admin Интересно Социальная сеть Monnett предлагает альтернативу без алгоритмов и слежки. Новости в сети 0
Admin Интересно Monnett: Европейская социальная сеть без диктатуры иностранных алгоритмов. Новости в сети 0
Admin Интересно ФНС получит доступ к данным о переводах между гражданами без проверок. Новости в сети 0
Admin Интересно Китайские ученые создали супер-антенну без использования кремния. Новости в сети 0
Admin Интересно Кибератака на Intoxalock оставила водителей без возможности завести машины. Новости в сети 0
Admin Интересно Радиосвязь — слабое место дронов: почему без стабильного канала дрон становится бесполезным. Новости в сети 0
Admin Интересно Telegram работает без сотовой сети и интернета с помощью Raspberry Pi и радиоузлов. Новости в сети 0
Admin Интересно Чистка ДНК без права на ошибку: генный редактор ME-ABE — единственный шанс не убить пациента лечением. Новости в сети 0
Admin Интересно Москва уже пятый день живёт без мобильного интернета. Новости в сети 0
Admin Интересно Стабильность уровня «провал». Ракета Vulcan снова потеряла сопло при взлете и оставила военных без космоса. Новости в сети 0
Admin Интересно Укол вместо скальпеля. Ученые из MIT придумали, как вырастить «запасную» печень без операции. Новости в сети 0
Admin Интересно Злоумышленники создали вечный вирус без серверов. Новости в сети 0
Admin Интересно Ваш смартфон может работать на мошенников без вашего ведома. Новости в сети 0
Admin Интересно 50 тысяч систем сдали пароли хакерам без запуска кода. Новости в сети 0
Adrogrom Старые и новые аккаунты Gmail | с 2FA и без | Ручная регистрация Аккаунты: сервисы, сайты, соц. сети 4
Admin Интересно Секретные настройки браузера для боссов: как вычистить всё лишнее из Chrome и Firefox без сомнительных форков. Новости в сети 0
Admin Интересно Сторож с открытой дверью. Критическая уязвимость в FortiSIEM позволяет хакерам захватить контроль без пароля. Новости в сети 0
Admin Интересно Права SYSTEM без пароля. В консоли Trend Micro нашли критическую дыру, позволяющую захватить сервер. Новости в сети 0
Admin Интересно Погуглил банк — остался без денег. Новая фобия от Минюста США. Новости в сети 0

Название темы