Критична n8n ранливост (CVSS 9.9) овозможува произволно извршување код на илјадници инстанци

Објавена е критична безбедносна ранливост во платформата за автоматизација на работни текови n8n, која, доколку успешно се искористи, може да резултира со произволно извршување на код под одредени околности.

Ранливоста, означена како CVE-2025-68613, има CVSS оценка од 9.9 од максимални 10.0. Пакетот има околу 57.000 неделни преземања, според статистиките на npm.

„Под одредени услови, изразите доставени од автентицирани корисници за време на конфигурирање на работните текови може да се евалуираат во извршна околина која не е доволно изолирана од основниот runtime,“ изјавија одржувачите на npm пакетот.
„Автентициран напаѓач може да го злоупотреби ова однесување за да изврши произволен код со привилегиите на n8n процесот. Успешната експлоатација може да доведе до целосен компромис на засегнатата инстанца, вклучувајќи неовластен пристап до чувствителни податоци, измена на работните текови и извршување на операции на системско ниво.“

Проблемот ги погодува сите верзии почнувајќи од 0.211.0 па сè до, но не вклучувајќи, 1.120.4, а е закрпен во верзиите 1.120.4, 1.121.1 и 1.122.0. Според платформата за управување со површината на напади Censys, заклучно со 22 декември 2025 година постојат 103.476 потенцијално ранливи инстанци. Најголемиот дел од нив се лоцирани во САД, Германија, Франција, Бразил и Сингапур.

Со оглед на критичноста на пропустот, на корисниците им се советува да ги применат ажурирањата што е можно побрзо. Доколку итното закрпување не е опција, се советува да се ограничат дозволите за креирање и уредување на работните текови само на доверливи корисници и да се распореди n8n во зајакната околина со ограничени привилегии на оперативниот систем и мрежен пристап, со цел да се ублажи ризикот.

Извори:

• The Hacker News – Critical n8n Flaw (CVSS 9.9) Enables Arbitrary Code Execution Across Thousands of Instances The Hacker News