Az n8n kritikus hibája a teljes rendszert veszélyezteti

Kritikus biztonsági résekre bukkantak az n8n automatizálási platformban, amelyek lehetővé teszik, hogy támadók tetszőleges kódot futtassanak a rendszeren, hozzáférjenek érzékeny adatokhoz, sőt átvegyék az irányítást a teljes n8n-példány felett.

Kritikus hibák a sandboxban

A JFrog nevű DevSecOps-cég kutatói két, egymástól független, de hasonló jellegű hibát fedeztek fel: az egyik a JavaScript, a másik a Python sandbox kezelési módját érinti. A CVE-2026-1470 kódú sebezhetőség miatt egy rafinált JavaScript-szintaktikai trükkel ki lehet kerülni a platform szűrőit, és tetszőleges parancsot futtatni. Egy másik hiba, a CVE-2026-0863, Python-kód esetén teszi ugyanezt lehetővé, kihasználva a 3.10-es és újabb verziókban bevezetett speciális attribútumkezelést.

Miért veszélyes?

Bár jogosultság szükséges a kihasználásához, a hibák olyan felhasználók számára is nyitva állnak, akiket a rendszergazdák jellemzően biztonságosnak tekintenek. Így például egy egyszerűbb, nem adminisztrátori fiókkal dolgozó felhasználó is képes lehet átvenni az irányítást a platform teljes infrastruktúrája felett.

Frissítés erősen ajánlott

Az n8n fejlesztői gyorsan javították a hibákat: a CVE-2026-1470-et az 1.123.17, 2.4.5 és 2.5.1, a másik hibát pedig az 1.123.14, 2.3.5 és 2.4.2 verziókban. A felhőben futó n8n már biztonságos, de az önállóan üzemeltetett, elavult verziókat használó rendszerek továbbra is sérülékenyek. A kutatók újabb, bizonyító erejű példakóddal készülnek bemutatni a támadhatóságot, ezért erősen ajánlott már most a legfrissebb verzióra váltani.

2025, adrienne, www.bleepingcomputer.com alapján