В популярной платформе для автоматизации рабочих процессов n8n выявлена критическая уязвимость CVE-2026-25049 с оценкой 9,4 по шкале CVSS. Ошибка в механизме изоляции JavaScript-кода позволяла аутентифицированным пользователям выполнять произвольные команды на сервере, фактически получая полный контроль над инстансом n8n.
Что произошло: сбой песочницы и обход ранее выпущенного патча
Уязвимость затронула компонент песочницы, который отвечает за безопасное выполнение пользовательских JavaScript-выражений в рабочих процессах. Для защиты используется подход с анализом абстрактного синтаксического дерева (AST), призванный блокировать опасные конструкции ещё до выполнения кода.
Исследователи из Pillar Security, Endor Labs и SecureLayer7 установили, что реализация этого механизма была неполной. В результате стало возможным обойти ограничения и добиться исполнения кода за пределами песочницы, включая доступ к глобальному объекту Node.js и системным функциям.
Особенно важно, что CVE-2026-25049 фактически позволила обойти защиту, внедрённую ранее для устранения другой критической проблемы — CVE-2025-68613 (оценка 9,9 по CVSS), закрытой в декабре 2025 года. То есть новая уязвимость стала альтернативным вектором атаки, несмотря на уже применённый патч.
Кто под угрозой: сценарии атак и возможные последствия
Для эксплуатации багa злоумышленнику достаточно иметь учётную запись с правом создания или редактирования рабочих процессов. По оценке Pillar Security, этого достаточно, чтобы захватить управление сервером: «если у вас есть доступ к созданию рабочих процессов, вы можете захватить контроль над сервером».
Практически это означает, что атакующий получает возможности:
1. Удалённое выполнение системных команд (RCE). Злоумышленник может запускать команды ОС, устанавливать дополнительное ПО, разворачивать бэкдоры и использовать сервер как точку опоры для дальнейшего проникновения в инфраструктуру.
2. Кража чувствительных данных и секретов. Под угрозой оказываются все учетные данные, хранящиеся в n8n: API-ключи, OAuth-токены, логины и пароли к интеграциям. Через них возможен доступ к внешним сервисам — от CRM и хранилищ данных до облачных платформ.
3. Доступ к файловой системе и внутренним сервисам. Атакующий может читать и, в ряде сценариев, модифицировать файлы, обращаться к сервисам внутри сети или кластера, в том числе к тем, что не доступны из интернета.
4. Компрометация ИИ-воркфлоу. Поскольку n8n активно используется для оркестрации AI-процессов, злоумышленник может перехватывать промпты, изменять ответы моделей, незаметно модифицировать логику цепочек или перенаправлять трафик на подконтрольные ему сервисы.
Особую опасность уязвимость представляет в мультиарендных (multi-tenant) развертываниях. Получив доступ к внутренним сервисам кластера, атакующий теоретически может попытаться выйти за пределы одного арендатора и получить доступ к данным других клиентов.
Таймлайн инцидента и работа исследователей
По данным Pillar Security, о проблеме разработчики n8n были уведомлены 21 декабря 2025 года. Исследователи продемонстрировали практический побег из песочницы и доступ к глобальному объекту Node.js, что напрямую вело к удалённому выполнению кода.
Первое исправление было выпущено уже через два дня, однако последующий аудит показал, что патч не перекрывает все возможные векторы атаки. Оставался альтернативный способ обойти AST-анализ за счёт эквивалентных операций и конструкций.
Окончательно уязвимость была закрыта только в версии n8n 2.4.0, релиз которой состоялся 12 января 2026 года. Эксперты из Endor Labs подготовили простой proof-of-concept эксплоит, демонстрирующий эксплуатацию CVE-2026-25049 на практике.
Команда SecureLayer7 опубликовала технические детали атаки: им удалось добиться выполнения JavaScript на стороне сервера с использованием конструктора Function, который в норме должен быть заблокирован в песочнице. По их словам, успешный обход защиты потребовал более 150 неудачных итераций и экспериментов с обходными конструкциями.
Рекомендации по защите и обновления n8n
Разработчики настоятельно рекомендуют администраторам инстансов как можно скорее обновиться до актуальных стабильных версий: 1.123.17 и 2.5.2. Эти релизы включают окончательную доработку механизма песочницы и закрывают связанный набор уязвимостей.
Оперативные меры по снижению рисков
Эксперты Pillar Security дополнительно советуют выполнить ряд шагов по минимизации последствий возможной компрометации:
1. Смена ключа шифрования. Обновить значение N8N_ENCRYPTION_KEY, используемого для защиты сохранённых секретов.
2. Ротация всех учётных данных. Пересоздать и обновить в n8n все хранимые пароли, токены, API-ключи и OAuth-креденшелы, даже если явных признаков взлома нет.
3. Аудит рабочих процессов. Проверить существующие воркфлоу на наличие подозрительных JavaScript-выражений, особенно тех, что обращаются к системным функциям, файловой системе или нетипичным endpoint’ам.
Если немедленное обновление по техническим или организационным причинам невозможно, рекомендуется временно:
— ограничить права на создание и редактирование рабочих процессов только узкому кругу полностью доверенных пользователей;
— запускать n8n в максимально изолированном окружении с урезанными привилегиями, жёсткими сетевыми фильтрами и ограниченным доступом к внутренним сервисам.
Другие закрытые уязвимости в n8n
Одновременно с CVE-2026-25049 разработчики n8n устранили ещё четыре уязвимости, две из которых также получили оценку 9,4 по CVSS и требуют повышенного внимания администраторов:
— CVE-2026-25053: инъекция команд в Git-ноде, позволяющая выполнять произвольные команды при работе с репозиториями;
— CVE-2026-25056: запись произвольных файлов через SQL Query в Merge-ноде, что даёт возможность менять содержимое файловой системы.
Также были закрыты менее критичные, но всё же значимые проблемы безопасности:
— CVE-2026-25054: хранимая XSS в компоненте рендеринга Markdown, создающая риск атак на пользователей интерфейса;
— CVE-2026-25055: path traversal в SSH-ноде при обработке загружаемых файлов, потенциально позволяющий обращаться к нежелательным путям в файловой системе.
Инцидент вокруг CVE-2026-25049 наглядно демонстрирует, насколько критично для современных платформ автоматизации тщательно проектировать и регулярно пересматривать механизмы песочницы и изоляции кода. Организациям, использующим n8n в производстве, имеет смысл не только своевременно обновиться, но и пересмотреть модель доверия к пользователям, которым разрешено создавать и редактировать воркфлоу, усилить сетевую сегментацию, внедрить мониторинг аномальной активности и ротацию секретов по регламенту. Чем быстрее такие меры станут стандартной практикой, тем меньше будет потенциальный ущерб от неизбежных уязвимостей в сложных экосистемах автоматизации.
