Maksimum severity problem u n8n-u omogućava svima da upravljaju vašim serverom za automatizaciju

Otkrivena je sigurnosna ranjivost maksimalnog prioriteta u platformi n8n, popularnom “low-code” alatu koji organizacije koriste za kreiranje AI agenata i automatizovanih radnih procesa. Propust su otkrili istraživači iz firme za sigurnost podataka Cyera, a kodno ime mu je “Ni8mare”. Ranjivost nosi savršen CVSS rezultat od 10.0, što označava najviši mogući nivo rizika.

Ova ranjivost, zavedena pod oznakom CVE-2026-21858, omogućava napadačima bez prethodne autentifikacije da daljinski pokrenu kod i preuzmu potpunu kontrolu nad lokalno instaliranim n8n instancama.

Analiza napada

Srž problema leži u grešci pod nazivom “Content-Type confusion” (konfuzija tipa sadržaja) unutar mehanizma za obradu “webhook” zahtjeva. Preciznije, n8n Form node (čvor za forme) ne vrši pravilnu validaciju dolaznih tipova podataka, što zlonamjernom akteru omogućava da:

• Zaobiđe sigurnost: Prevari sistem da čita interne datoteke servera umjesto da obradi legitimno slanje forme.
• Ukradne tajne podatke: Pristupi osjetljivim bazama podataka i konfiguracijskim datotekama koje sadrže ključeve za enkripciju i API tokene.
• Falsifikuje identitete: Iskoristi ukradene ključeve za kreiranje administrativnih sesijskih kolačića, dobijajući puni pristup kontrolnoj ploči bez lozinke.
• Izvršava komande: Nakon ulaska u sistem, koristi ugrađeni “Execute Command” čvor za pokretanje proizvoljnog koda na samom serveru.

Ugroženi “nervni sistem”

S obzirom na to da n8n djeluje kao “centralni nervni sistem” za mnoge kompanije—povezujući aplikacije kao što su OpenAI, Salesforce i Google Drive—kompromitacija ovog sistema je razarajuća. Napadač ne dobija pristup samo jednom serveru; on nasljeđuje “ključeve kraljevstva” za svaki integrisani servis.

Hitne preporuke

n8n je već objavio zakrpu za ovaj problem. Kako biste zaštitili svoju infrastrukturu, stručnjaci preporučuju sljedeće hitne korake:

1. Odmah ažurirajte sistem: Nadogradite n8n na verziju 1.121.0 ili noviju (te na 1.121.3 kako biste pokrili i sekundarne propuste).
2. Ograničite pristup: Izbjegavajte izlaganje n8n instanci direktno javnom internetu, osim ako je to apsolutno neophodno.
3. Obavezna autentifikacija: Osigurajte da svi “Webhook” i “Form” čvorovi zahtijevaju autentifikaciju za slanje podataka.