Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Критични пропусти во n8n овозможуваат далечинско извршување на код и изложување на зачувани акредитиви

Објавено: 12.03.2026

Истражувачи за сајбер безбедност објавија детали за две безбедносни ранливости, кои сега се веќе закрпени, во платформата за автоматизација на работни процеси n8n, вклучувајќи два критични пропусти што можат да доведат до извршување на произволни команди.

Ранливостите се наведени подолу:

  • CVE-2026-27577 (CVSS резултат: 9.4) – Избегнување на sandbox во изразите (expression sandbox escape) што води до далечинско извршување на код (RCE).
  • CVE-2026-27493 (CVSS резултат: 9.5) – Неавтентифицирана евалуација на изрази преку Form јазлите (Form nodes) во n8n.

CVE-2026-27577 е пробивање на sandbox-от во компајлерот за изрази: недостасувачки случај во AST преработувачот дозволува process да помине без трансформација, со што секој автентифициран израз може да добие целосно далечинско извршување на код (RCE),“ изјави истражувачот Eilon Cohen од компанијата Pillar Security, кој ги открил и пријавил проблемите, во извештај споделен со The Hacker News.

Компанијата за сајбер безбедност ја опиша CVE-2026-27493 како „грешка со двојна евалуација“ во Form јазлите на n8n, која може да се злоупотреби за инјекција на изрази, користејќи го фактот дека form endpoint-ите се по дизајн јавни и не бараат ниту автентикација ниту n8n корисничка сметка.

За успешна експлоатација е доволно напаѓачот да искористи јавна форма „Contact Us“ и да изврши произволни shell команди едноставно со внесување payload во полето Name.

Во безбедносно известување објавено кон крајот на минатиот месец, n8n соопшти дека CVE-2026-27577 може да биде злоупотребена од автентифициран корисник кој има дозвола да креира или изменува workflow-и, со што преку специјално изработени изрази во параметрите на workflow-от може да се предизвика непредвидено извршување на системски команди на серверот на кој работи n8n.

n8n исто така наведе дека CVE-2026-27493, кога се комбинира со пробивање на expression sandbox како CVE-2026-27577, може да „ескалира до далечинско извршување на код на n8n серверот“.

Двете ранливости ги погодуваат и self-hosted и cloud инсталациите на n8n во следните верзии:

  • < 1.123.22
  • >= 2.0.0 < 2.9.3
  • >= 2.10.0 < 2.10.1

Проблемите се поправени во верзиите 2.10.1, 2.9.3 и 1.123.22.

Ако веднаш не е можно да се инсталира закрпата за CVE-2026-27577, на корисниците им се препорачува:

  • да ги ограничат дозволите за креирање и уредување на workflow-и само на целосно доверливи корисници
  • да го постават n8n во зајакната (hardened) средина со ограничени привилегии на оперативниот систем и мрежен пристап

За CVE-2026-27493, n8n ги препорачува следните мерки за ублажување:

  • рачно да се провери употребата на Form nodes за претходно споменатите услови
  • да се оневозможи Form node со додавање n8n-nodes-base.form во environment променливата NODES_EXCLUDE
  • да се оневозможи Form Trigger node со додавање n8n-nodes-base.formTrigger во NODES_EXCLUDE

Од тимот на n8n предупредуваат дека:

„Овие заобиколни решенија не го елиминираат целосно ризикот и треба да се користат само како краткорочни мерки.“

Компанијата Pillar Security истакна дека напаѓач може да ги искористи овие пропусти за да ја прочита environment променливата N8N_ENCRYPTION_KEY и со неа да ги дешифрира сите креденцијали зачувани во базата на n8n, вклучувајќи:

  • AWS клучеви
  • лозинки за бази на податоци
  • OAuth токени
  • API клучеви

Верзиите 2.10.1, 2.9.3 и 1.123.22 исто така поправаат уште две критични ранливости кои можат да доведат до извршување на произволен код:

  • CVE-2026-27495 (CVSS 9.4) – Автентифициран корисник со дозвола за креирање или измена на workflow може да искористи code injection ранливост во JavaScript Task Runner sandbox и да изврши произволен код надвор од sandbox-от.
  • CVE-2026-27497 (CVSS 9.4) – Автентифициран корисник со дозвола за workflow може да го искористи SQL query режимот на Merge node за да изврши произволен код и да запише произволни датотеки на n8n серверот.

Покрај ограничување на дозволите за workflow-и само на доверливи корисници, n8n ги препорачува следните привремени мерки:

  • CVE-2026-27495 – користење на external runner mode (N8N_RUNNERS_MODE=external) за да се намали потенцијалната штета
  • CVE-2026-27497 – оневозможување на Merge node со додавање n8n-nodes-base.merge во NODES_EXCLUDE

Иако n8n не споменува дека овие ранливости се активно експлоатирани во реални напади, корисниците се советуваат редовно да ги ажурираат своите инсталации за максимална заштита.

Извори:

  • The Hacker News – Critical n8n Flaws Allow Remote Code Execution and Exposure of Stored Credentials The Hacker News