CISA подтвердила активную эксплуатацию критической RCE-уязвимости в платформе n8n. Разработчики проекта страдают от череды критических ошибок: No rest for project maintainers battered by slew of vulnerability disclosures. — theregister.com
Агентство по кибербезопасности и защите инфраструктуры США (CISA) подтвердило, что хакеры используют уязвимость удаленного выполнения кода (RCE) максимальной степени критичности в платформе автоматизации рабочих процессов n8n.
CISA настоятельно призвала все федеральные гражданские исполнительные органы (FCEB) немедленно установить исправление для CVE-2025-68613, поскольку ей присвоен почти идеальный балл уязвимости — 9.9.
Об этой ошибке впервые стало известно в декабре, а поставщики, такие как Resecurity, заявили, что из примерно 230 000 активных пользователей n8n уязвимыми оказались более 103 000.
CVE-2025-68613 может привести к RCE на платформе автоматизации рабочих процессов с открытым исходным кодом, потенциальные последствия которой варьируются от простого хищения данных до полномасштабного компрометации цепочки поставок.
Уязвимость затрагивает n8n и ее механизм оценки выражений, которые обычно используются для автоматизации операционных задач в различных системах.
В рекомендациях n8n указано, что при определенных условиях аутентифицированные злоумышленники могут внедрять полезные нагрузки в выражения, которые затем выполняются без проверки.
«Успешная эксплуатация может привести к полной компрометации затронутого экземпляра, включая несанкционированный доступ к конфиденциальным данным, изменение рабочих процессов и выполнение операций на уровне системы», — говорится в сообщении.
Проще говоря, это означает, что злоумышленник, имеющий доступ к учетной записи с низкими привилегиями, может взять под контроль весь экземпляр n8n и злоупотреблять им для потенциального доступа к секретам, таким как пароли, или для внедрения вредоносного кода путем изменения рабочих процессов, среди прочих неприятностей.
n8n устранила ошибку в версии v1.122.0, но, учитывая уведомление CISA о добавлении этой уязвимости в список KEV, похоже, что некоторые организации не обновляются.
У федеральных органов FCEB есть время до 25 марта, чтобы убедиться, что они используют безопасную версию.
Разработчики проекта пережили несколько непростых недель с момента первого раскрытия информации об CVE-2025-68613. Хотя исправление для уязвимости с оценкой 9.9 сработало, проекту пришлось потратить время на разработку других исправлений после того, как исследователи Cyera уведомили их об ошибке критичностью 10.0, которую они назвали «ni8mare».
CVE-2026-21858 (10.0) — это еще одна ошибка RCE, раскрытая в начале года, хотя она предоставляла злоумышленникам полную свободу действий в экземпляре n8n без необходимости аутентификации благодаря некорректной обработке веб-перехватчиков (webhooks).
Затем в начале февраля последовала серия уязвимостей, отслеживаемых под единым идентификатором CVE CVE-2026-25049 (CVSS 9.4).
n8n заявила, что эти недостатки больше похожи на CVE-2025-68613, предоставляя дополнительные способы эксплуатации механизма оценки выражений платформы.
«Дополнительные эксплойты в механизме оценки выражений n8n были выявлены и исправлены после CVE-2025-68613», — сообщили в n8n в рекомендациях. «Аутентифицированный пользователь с разрешением на создание или изменение рабочих процессов мог злоупотреблять специально сформированными выражениями в параметрах рабочих процессов для запуска непреднамеренного выполнения системных команд на хосте, где запущен n8n». ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Connor Jones