Az n8n nevű, népszerű, nyílt forráskódú, automatizált munkafolyamat-platformban több kritikus biztonsági hibát találtak, amelyek lehetővé teszik a támadók számára, hogy kikerüljék a biztonsági korlátokat és átvegyék az irányítást a kiszolgáló felett. Az összetett sebezhetőségeket CVE-2026-25049 néven azonosították, és bármely hitelesített felhasználó kihasználhatja, aki képes munkafolyamatot létrehozni vagy szerkeszteni a rendszerben. Ilyenkor tetszőleges távoli kódvégrehajtás (RCE) valósítható meg az n8n-szerveren.
Teljes kompromittálás veszélye
A hibák elsősorban az n8n szűrési mechanizmusából erednek, amely nem védi megfelelően a szerveren futó JavaScript-kifejezéseket. Valószínű, hogy egy gondosan összeállított munkafolyamattal akár valamennyi tárolt hitelesítő adat, API-kulcs, OAuth-token és érzékeny konfigurációs fájl megszerezhető. A kutatók olyan támadásokat is kidolgoztak, amelyek képesek voltak hozzáférni a fájlrendszerhez és felhőfiókokhoz, sőt még mesterségesintelligencia-munkameneteket is eltéríteni, például parancsokat elfogni, válaszokat módosítani vagy forgalmat átirányítani.
A hibajavítás útja
A fejlemények villámgyorsan követték egymást: december 21-én demonstrálták az első komoly sandbox-megkerülést, majd két nappal később az n8n csapata javítást adott ki. Mindezek dacára ez sem bizonyult teljesnek, a támadók hamarosan egy másik megkerülési módszert is találtak, így újabb javításra volt szükség. Végül a 2.4.0-s verzióban, január 12-én adták ki a véglegesnek szánt megoldást, majd később az 1.123.17 és 2.5.2 verziókban tovább erősítették a védelmet.
Javasolt lépések és további veszélyek
Az n8n felhasználóinak haladéktalanul érdemes frissíteniük a legújabb verzióra, cserélni az N8N_ENCRYPTION_KEY-t, valamint a szerveren tárolt valamennyi hitelesítő adatot. Ha a frissítés nem lehetséges, akkor legalább korlátozni kell a munkafolyamatokhoz való hozzáférést kizárólag megbízható felhasználókra, és érdemes a rendszer működési környezetét hálózati szinten is szigorúan elszigetelni.
Jelenleg még nincs jelentés arról, hogy a CVE-2026-25049-et élesben kihasználták volna, de az n8n egyre nagyobb népszerűsége valószínűleg már felkeltette a kiberbűnözők érdeklődését. A szakértők különösen veszélyesnek értékelik azokat az eseteket, ahol nyilvánosan elérhető, védtelen n8n-végpontokat találtak.
2025, adminboss, www.bleepingcomputer.com alapján
filózó
- Te mennyire bízol a nyílt forráskódú biztonsági javításokban?
- Te mit tennél, ha fontos rendszeredben találnának ilyen súlyos hibát?
Legfrissebb posztok
MA 18:32
A mesterséges intelligencia infrastruktúrája iránti fékezhetetlen igény egyre nagyobb mértékben fűti az inflációt – figyelmeztetett Beth Hammack, a clevelandi Szövetségi Tartalékbank elnöke...
MA 18:01
⚠ A Samsung Messages alkalmazás hamarosan végleg eltűnik az amerikai felhasználók mobiljáról, így akinek fontosak a régi üzenetei, vagy továbbra is csevegni szeretne, érdemes minél előbb lépnie...
MA 17:02
🔨 Felmerül a kérdés, hogy mi lenne, ha a betegségeket nem csupán a DNS szerkesztésével, hanem a gének működésének speciális beállításával lehetne kezelni?..
MA 16:31
Az elmúlt héten hatalmas adatlopás történt az indiai Tata Electronicsnál, ahol közel 630 GB-nyi bizalmas információ került illetéktelen kezekbe...
MA 16:01
A Peacock Premium Plus már elérhető a YouTube Primetime Channels szolgáltatáson keresztül, így mostantól közvetlenül a YouTube alkalmazásban is előfizethetsz rá, és nézheted az összes tartalmat – legyen szó mobilról, tabletről vagy okostévéről...
MA 15:01
💸 A világ egyik legnagyobb motor- és elektronikai alkatrészgyártójaként ismert, több mint 100 ezer embert foglalkoztató japán Nidec Corporation most hatalmas nyomás alatt áll: a Blackfield zsarolóvírus-banda 2 millió dollárt, vagyis körülbelül 726 millió forintot követel tőle...
MA 14:32
A Claude Code MI-ügynök elleni támadás meglepő módon mindent kikerült, amit ma védelemnek nevezünk...
MA 12:01
A kínai LineShine nevű szuperszámítógép lett a világ leggyorsabbja, első ízben 2017 óta, hogy ismét kínai gép vezeti a mezőnyt...
MA 11:31
🚦 Érdemes megvizsgálni, hogy a Shetland-szigetek vezetése radikális változtatásra készül a közlekedésben: egy 1,5 milliárd angol font (650 milliárd forint) értékű terv szerint az elöregedő kompokat víz alatti alagutak válthatják fel a következő nyolc éven belül...
MA 10:50
A 19. század csatornaépítési és vasúti láza, a dotkom-lufi 2000-ből – mind gazdaságtörténeti példák arra, hogy valódi technológiai áttörések túlfűtött beruházási hullámokat indíthatnak el, amelyek végül recesszióval végződhetnek...
MA 10:24
Az IBM újabb mérföldkőhöz érkezett a chiptechnológia világában: bemutatta a világ első, 1 nanométernél kisebb csíkszélességű technológiáját, mellyel egy körömnyi lapkán közel 100 milliárd tranzisztor kap helyet...
MA 10:01
💫 Az Univerzum tágulásának részletesebb vizsgálata és a titokzatos sötét energia megértése közelebb kerülhet, hála egy barcelonai kutatócsoport forradalmi megközelítésének...
MA 09:49
Ez a jelenség jól illusztrálható azzal, hogy a Nap közel ötmilliárd év múlva lenyűgöző változáson megy keresztül: kifogy a hidrogén üzemanyagából, vörös óriássá duzzad, majd még nagyobb méretet öltve aszimptotikus óriáság állapotba lép, végül fehér törpévé zsugorodik...
MA 09:37
Az elmúlt években egyre többen néznek szembe azzal, hogy már 50 éves koruk előtt súlyos betegségekkel, például mell-, vastagbél-, vese- vagy méhrákkal diagnosztizálják őket...
MA 09:24
📷 A Google egyre többet tud rólunk, mostantól pedig a Gemini alkalmazáson keresztül már a személyes fotóink felhasználásával is egyedi képeket készít...
MA 09:13
Külön említést érdemel, hogy a Nissan jelenlegi és volt alkalmazottainak személyes adatai kerültek veszélybe egy kifinomult kibertámadássorozat során...
MA 09:11
Fizetős iOS appok és játékok, amik ingyenesek a mai napon. Lively Letters – Phonics (iPhone/iPad)Ez az alkalmazás villámgyorsan az App Store fizetős oktatási programjai élére tört...
MA 09:01
A Disney és az Adobe összefog, hogy teljesen új korszakot nyisson a szórakoztatóiparban: közösen tervezik a jövő tematikus parkjait, szállodáit és hajóútjait egy testreszabott MI-megoldás segítségével...
MA 08:49
Érdemes megérteni, hogy a National Association of Insurance Commissioners (NAIC) nagyszabású kibertámadás áldozata lett, miután egy Oracle PeopleSoft-szervert érintő, nulladik napi (zero-day) sebezhetőséget kihasználó támadás révén a ShinyHunters nevű csoport hozzáférést szerzett a szervezet rendszereihez...
MA 08:37
Jó példa erre, hogy Ausztrália versenyhivatala, az ACCC pert indított az Amazon helyi részlege ellen, miután a cég a Prime-előfizetések feltételeit állítólag egyoldalúan, a fogyasztók kárára módosította...
MA 08:25
🚀 A világűr egyik legmegbízhatóbb teleszkópja, a Swift, napjai meg vannak számlálva...
MA 08:12
A fejlett szövegértelmező rendszerek, mint a modern nagy nyelvi modellek, újfajta támadásokkal néznek szembe...
MA 08:01
🚗 A Fordnál a minőségi problémák tartós fennállása miatt vezetői szinten beismerték: a mesterséges intelligencia önmagában nem jelentett megoldást a hibákra...
MA 07:49
A zenehallgatás új korszakába lép a Tidal: hamarosan egy jól látható „MI” ikon jelenik meg azoknál a zeneszámoknál, amelyeket kizárólag mesterséges intelligencia hozott létre...
MA 07:37
Ebből következően érdemes megérteni, hogy a hasnyálmirigyrák továbbra is az egyik legnehezebben kezelhető daganatos betegség, főként a KRAS-mutációk gyakori jelenléte miatt...
MA 07:25
📚 A Kobo végre elindította régóta várt újítását: mostantól automatikusan szinkronizálhatod az olvasási előrehaladásodat, aktuális olvasmányaidat és befejezett könyveidet a StoryGraph szolgáltatással...
MA 07:01
📦 Szeptember 1-jétől a brit PlayStation-felhasználók 551, korábban megvásárolt filmhez és sorozathoz többé nem férnek hozzá, mert a Sony törli őket a PlayStation Store kínálatából...
MA 06:25
👋 A WhatsApp újdonsága, hogy mostantól lehetőség van egyedi felhasználónév lefoglalására, amivel végre könnyedén elrejtheted a telefonszámodat olyanok elől, akik nincsenek a névjegyzékedben...
MA 06:06
Időutazás egyetlen napon: a német hatalmi leszámolástól a hongkongi szuverenitás-átadásig, az első 999-es segélyhívótól Yosemite völgyének megóvásáig...
