Опенсорсная платформа автоматизации рабочих процессов n8n оказалась в центре внимания специалистов по кибербезопасности: за последние недели опубликованы детали сразу четырех критических уязвимостей, две из которых получили максимальную оценку 10,0 по шкале CVSS. Наиболее опасный баг, получивший имя Ni8mare (CVE-2026-21858), дает возможность удаленного захвата инстанса без какой‑либо аутентификации.
n8n как цель для атак: почему платформа так важна для злоумышленников
n8n — это платформа для построения no-code/low-code воркфлоу, которая связывает приложения, API и сервисы через визуальный конструктор. Она особенно популярна в сфере ИИ: с ее помощью оркестрируют LLM, запускают ИИ‑агентов и строят RAG‑пайплайны. По данным экосистемы, инструмент имеет свыше 50 000 еженедельных загрузок в npm и более 100 млн скачиваний на Docker Hub, что делает его привлекательной целью для атак.
Ключевой риск связан с тем, что n8n часто хранит в себе самые чувствительные секреты инфраструктуры: API‑ключи, OAuth‑токены, учетные данные БД, доступы к облакам и CI/CD‑секреты. Исследователи из Cyera справедливо отмечают, что компрометация такого инстанса означает не только потерю одной системы, но фактически передачу «ключей от всего» в руки атакующего.
Ni8mare (CVE-2026-21858): захват инстанса через путаницу Content-Type
Уязвимость Ni8mare (оценка CVSS: 10.0) позволяет неаутентифицированному злоумышленнику получать доступ к файлам на сервере и в ряде сценариев приводить к выполнению произвольных команд. Атака реализуется через специально сформированные form‑based воркфлоу и эксплуатирует content-type confusion — ошибку обработки данных в зависимости от заголовка Content-Type.
В n8n используются два разных механизма парсинга входящих запросов вебхуков. Для multipart/form-data запускается специальный парсер, который сохраняет загруженные файлы во временные директории с защитой от path traversal. Для остальных типов (например, application/json) применяется стандартный парсер без такой защиты.
Исследователи показали, что, указав Content-Type: application/json, но при этом передав поля, ожидаемые как файловые, злоумышленник получает полный контроль над объектом req.body.files. Это позволяет управлять метаданными файлов, включая путь к файлу. В результате вместо копирования загруженного файла возможно прочитать любой локальный файл на сервере — от конфигураций и логов до баз данных и ключей шифрования, а затем использовать эти данные для подделки cookie, обхода аутентификации и эскалации до RCE.
По официальной информации, уязвимость затрагивает все сборки n8n вплоть до 1.65.0 включительно и была исправлена в версии 1.121.0 (18 ноября 2025 года. Обходных решений, полностью закрывающих брешь, нет: разработчики рекомендуют ограничить или отключить публично доступные webhook‑ и form‑эндпоинты до установки обновлений.
Другие критические уязвимости n8n: от опасной загрузки файлов до побега из песочницы
CVE-2026-21877: неограниченная загрузка файлов и выполнение произвольного кода
Уязвимость CVE-2026-21877 (CVSS: 10.0) связана с небезопасной обработкой загружаемых файлов. При определенных условиях аутентифицированный пользователь может загрузить и выполнить вредоносный код через n8n, что приводит к полной компрометации инстанса. Под удар попадают версии от 0.123.0 до 1.121.3 (не включая 1.121.3). Исправление вошло в релиз 1.121.3.
Пока обновление не установлено, администраторам рекомендуется отключить Git‑ноду и ограничить доступ к инстансу для недоверенных пользователей, особенно в мультипользовательских и SaaS‑сценариях.
N8scape (CVE-2025-68668): побег из Python‑песочницы Pyodide
Уязвимость N8scape (CVE-2025-68668, CVSS: 9.9) затрагивает Python Code Node, работающий на базе Pyodide в песочнице. Аутентифицированный пользователь, имеющий право создавать или изменять воркфлоу, может обойти механизмы изоляции и выполнить команды на хост‑системе с правами процесса n8n.
Подвержены версии от 1.0.0 до 2.0.0 (не включая 2.0.0). В релизе 2.0.0 разработчики включили по умолчанию нативную имплементацию Python на основе task runner, впервые представленную опционально в версии 1.111.0, что существенно усилило изоляцию кода.
CVE-2025-68613: недостаточный контроль динамического кода (RCE)
Еще одна критическая проблема — CVE-2025-68613 (CVSS: 9.9), классифицируемая как improper control of dynamically-managed code resources. В определенных конфигурациях аутентифицированные пользователи могут добиться удаленного выполнения кода (RCE). Исправления доступны в версиях 1.120.4, 1.121.1 и 1.122.0. По данным Censys, к концу декабря 2025 года в сети насчитывалось свыше 100 000 потенциально уязвимых установок.
Масштаб экспозиции и последствия для инфраструктуры
Согласно данным Censys, в открытом доступе обнаружено более 26 000 хостов n8n. Наибольшая концентрация наблюдается в США (7079), Германии (4280), Франции (2655), Бразилии (1347) и Сингапуре (1129). Реальное число инстансов, работающих за VPN и прокси, очевидно, еще выше.
С учетом того, что n8n выступает «шиной» между десятками внутренних и облачных систем, его компрометация превращается в точку входа для атаки на всю DevOps‑ и ИИ‑инфраструктуру организации: от баз данных и очередей сообщений до хранилищ исходного кода и конвейеров CI/CD.
Практические рекомендации по защите инстансов n8n
Администраторам и DevOps‑командам настоятельно рекомендуется в кратчайшие сроки обновить n8n до актуальных защищенных версий, как минимум не ниже 1.121.3 для устранения Ni8mare и CVE-2026-21877 и до 2.0.0 — для закрытия N8scape. Важно убедиться, что исправления для CVE-2025-68613 также установлены.
Дополнительно рекомендуется: не публиковать n8n напрямую в интернет (размещать за VPN, reverse‑proxy или Zero Trust‑шлюзом), включить аутентификацию для всех Forms и вебхуков, минимизировать набор ролей и прав пользователей, а также регулярно пересматривать хранимые в n8n секреты и ротуировать их в случае подозрений на компрометацию.
Организациям, активно использующим автоматизацию и ИИ‑оркестрацию, стоит рассматривать n8n и аналогичные платформы как критические элементы инфраструктуры. Периодические аудиты конфигурации, тесты на проникновение, мониторинг подозрительной активности воркфлоу и централизованное управление секретами существенно снижают риск того, что следующая кампания атак начнется именно с компрометации платформы автоматизации.
