Ни дня без патча. Почему в n8n всё чаще и чаще находят критические уязвимости?
NewsMakerRCE, XSS и инъекции в Git. Вот полный список дыр, которые обнаружили за последний месяц.
Вокруг платформы автоматизации рабочих процессов n8n снова возникла серьёзная история с безопасностью. В свежем предупреждении разработчики сообщили о критической уязвимости, которая при успешной атаке позволяет запускать на сервере произвольные системные команды.
Проблема получила идентификатор CVE-2026-25049 и оценку 9,4 по шкале CVSS. По сути, это обход ранее выпущенного исправления для CVE-2025-68613 , другого критического дефекта, закрытого в декабре 2025 года. Недостаточная очистка данных в механизме вычисления выражений даёт возможность обойти ограничения песочницы n8n и добиться выполнения команд на хосте, где запущена платформа.
Для атаки нужен аутентифицированный пользователь, у которого есть права на создание или изменение рабочих процессов. При этом SecureLayer7 отдельно отмечает сценарий, который повышает риск, если задействовать веб-хуки n8n. Злоумышленник может подготовить рабочий процесс с публично доступным веб-хуком без аутентификации и добавить вредоносное выражение в параметры узла, после активации такой веб-хук становится точкой удалённого запуска команд.
Последствия сводятся не только к захвату сервера. Pillar Security описывает риски кражи API-ключей, ключей облачных провайдеров, паролей к базам данных и OAuth-токенов, а также доступ к файловой системе и внутренним ресурсам, включая связанные облачные аккаунты и цепочки автоматизации с ИИ-компонентами.
Вокруг платформы автоматизации рабочих процессов n8n снова возникла серьёзная история с безопасностью. В свежем предупреждении разработчики сообщили о критической уязвимости, которая при успешной атаке позволяет запускать на сервере произвольные системные команды.
Проблема получила идентификатор CVE-2026-25049 и оценку 9,4 по шкале CVSS. По сути, это обход ранее выпущенного исправления для CVE-2025-68613 , другого критического дефекта, закрытого в декабре 2025 года. Недостаточная очистка данных в механизме вычисления выражений даёт возможность обойти ограничения песочницы n8n и добиться выполнения команд на хосте, где запущена платформа.
Для атаки нужен аутентифицированный пользователь, у которого есть права на создание или изменение рабочих процессов. При этом SecureLayer7 отдельно отмечает сценарий, который повышает риск, если задействовать веб-хуки n8n. Злоумышленник может подготовить рабочий процесс с публично доступным веб-хуком без аутентификации и добавить вредоносное выражение в параметры узла, после активации такой веб-хук становится точкой удалённого запуска команд.
Последствия сводятся не только к захвату сервера. Pillar Security описывает риски кражи API-ключей, ключей облачных провайдеров, паролей к базам данных и OAuth-токенов, а также доступ к файловой системе и внутренним ресурсам, включая связанные облачные аккаунты и цепочки автоматизации с ИИ-компонентами.