Az n8n kritikus hibája a teljes rendszert veszélyezteti
Kritikus biztonsági résekre bukkantak az n8n automatizálási platformban, amelyek lehetővé teszik, hogy támadók tetszőleges kódot futtassanak a rendszeren, hozzáférjenek érzékeny adatokhoz, sőt átvegyék az irányítást a teljes n8n-példány felett.
Kritikus hibák a sandboxban
A JFrog nevű DevSecOps-cég kutatói két, egymástól független, de hasonló jellegű hibát fedeztek fel: az egyik a JavaScript, a másik a Python sandbox kezelési módját érinti. A CVE-2026-1470 kódú sebezhetőség miatt egy rafinált JavaScript-szintaktikai trükkel ki lehet kerülni a platform szűrőit, és tetszőleges parancsot futtatni. Egy másik hiba, a CVE-2026-0863, Python-kód esetén teszi ugyanezt lehetővé, kihasználva a 3.10-es és újabb verziókban bevezetett speciális attribútumkezelést.
Miért veszélyes?
Bár jogosultság szükséges a kihasználásához, a hibák olyan felhasználók számára is nyitva állnak, akiket a rendszergazdák jellemzően biztonságosnak tekintenek. Így például egy egyszerűbb, nem adminisztrátori fiókkal dolgozó felhasználó is képes lehet átvenni az irányítást a platform teljes infrastruktúrája felett.
Az n8n fejlesztői gyorsan javították a hibákat: a CVE-2026-1470-et az 1.123.17, 2.4.5 és 2.5.1, a másik hibát pedig az 1.123.14, 2.3.5 és 2.4.2 verziókban. A felhőben futó n8n már biztonságos, de az önállóan üzemeltetett, elavult verziókat használó rendszerek továbbra is sérülékenyek. A kutatók újabb, bizonyító erejű példakóddal készülnek bemutatni a támadhatóságot, ezért erősen ajánlott már most a legfrissebb verzióra váltani.
Brandon Sanderson, a fantasy és sci-fi műfaj népszerű szerzője, szerződést kötött az Apple TV+-szal, hogy regényeit – köztük a Köd szülötte (Mistborn) és a Viharfény-krónikák (The Stormlight Archive) sorozatokat – filmek és sorozatok formájában is elhozza a nézőknek...
A Google teljesen átalakította a Chrome böngészőt, hogy beépítse a Gemini MI-modellhez kapcsolódó oldalpanelet, ezzel támogatva az MI által segített böngészési élményt és feladatkezelést...
A telefonvásárlók egyre többet várnak el készülékeiktől. Az egyre dráguló RAM és a folyamatosan növekvő igények miatt a mobiloknak nemcsak erősebbeknek, hanem strapabíróbbaknak is kell lenniük...
🤑 Az utóbbi időben az amerikai dollár gyengülése fellendítette az arany és más hagyományos menekülőeszközök árfolyamát, de a bitcoin látványosan lemaradt...
🚀 Különösen fontos kiemelni, hogy a SpaceX új, szigorú feltételeket diktál az Egyesült Államok államainak a szélessáv-támogatások kiosztásakor, lehetővé téve, hogy a Starlink pénzhez jusson akkor is, ha a helyi lakosok nem veszik igénybe a szolgáltatást...
Egy lényeges szempont, hogy közel negyven éve nem volt ekkora szabású változás a mentális betegségek kézikönyvében, a DSM-ben, amely orvosok milliói számára jelenti a diagnózisok alapját...
Az egyik legaktívabb, TA584 néven nyilvántartott hackercsoport áttért a Tsundere Bot használatára, hogy hálózatokat törjön fel és zsarolóvírustámadásokat indítson...
⚡ A holland ASML az egyetlen vállalat a világon, amely képes extrém ultraibolya (EUV) litográfiai gépeket gyártani – ezek nélkül elképzelhetetlenek lennének a legfejlettebb chipek, amelyek az MI-forradalom motorját jelentik...
💡 Mauro Porcini neve a technológiai iparban már jól csenghet, de talán kevesebben tudják, hogy valójában papnak készült: édesanyja ezt szerette volna...
A szellemi hanyatlás első jelei gyakran nem egy hivatalos diagnózisban, hanem az orvosok által írt apró, rejtett utalásokban jelennek meg a páciensek egészségügyi jegyzeteiben...
A Google új előfizetési lehetőséget vezetett be az Egyesült Államokban azoknak, akik szeretnék kipróbálni a fejlett MI-eszközöket, de nem akarnak túl sokat fizetni...
Az Apple elindította régóta várt Creator Studio előfizetéses csomagját, amely egy sor népszerű professzionális alkalmazáshoz kínál hozzáférést fix havi vagy éves díjért...
🕵 Az amerikai hatóságok most komoly érvágást okoztak a zsarolóvírussal foglalkozó bűnözőknek: lefoglalták a RAMP nevű, hírhedt kiberbűnözői fórumnak mind a sötét webes, mind a hagyományos webes elérhetőségeit...
A RAMP, amely orosz nyelvű online piactérként vált ismertté a sötét weben, most az FBI és az amerikai igazságügyi minisztérium közös akciójának áldozatává vált – a hatóságok lefoglalták mind a sötét webes, mind a hagyományos elérhetőségeit...
