#news В n8n, платформе для автоматизации рабочих процессов, закрыли критическую уязвимость под удалённое выполнение кода на 9.9 по CVSS. С аутентификацией, но низкими привилегиями.
Судя по описанию, инъекция выражений на стороне сервера, побег из песочницы и компрометация Node[.]js c RCE. Другие компоненты затронуты, импакт тотальный с полной компрометацией инстанса, так что почти десяточка. Сервис довольно популярный: 57 тысяч загрузок в неделю, в сети доступны ~100 тысяч потенциально уязвимых инстансов. Из костылей ограничения на создание рабочих процессов и только для доверенных юзеров плюс харденинг доступа, да и то лишь в качестве временной меры. Так что пришло время накатывать патчи. Донесите до причастных, пока они ещё в состоянии тыкать по клавишам перед новогодними увеселениями. Пока ты празднуешь, злоумышленник работает!
