#news Не устали от критических уязвимостей в n8n? Потому что их есть ещё. CVE-2026-25049, 9.4 по CVSS, обход исправленной в конце декабря CVE-2025-68613. Закрыта в патче от 12 января — кто обновился, тот и молодец.
Как и оригинальная уязвимость, эта с авторизацией, но низкими правами и на побег из песочницы с компрометацией инстанса. Есть юзер — есть полный доступ. В патче не учли все способы, которыми JavaScript допускает доступ к свойствам объекта — соответственно, через пару дней тыкания в него палочкой патч удалось обойти. Благодарны ли разрабы за вал репортов за последние месяцы или просто рады, что жаркий январь закончился — история умалчивает. А юзерам n8n всё так и шлёт криптичные послания. Что они могут значить? Юзер, если ты читаешь это, у нас уже десятая CVE за январь. Мы пробуем новый метод. Мы не знаем, где это сообщение тебя настигнет, но надеемся, что это сработает. Пожалуйста, накати патчи.
