Платформа автоматизации рабочих процессов n8n столкнулась с новыми уязвимостями высокой степени опасности, которые могут позволить злоумышленнику с учётной записью запускать произвольный код на сервере. Об этом сообщили исследователи из команды безопасности компании JFrog.
Что произошло
n8n - это популярный инструмент для визуального создания автоматизированных задач между приложениями, API и другими сервисами. Он широко используется в DevOps, автоматизации бизнес-процессов и интеграциях с ИИ-сервисами.
Исследователи выявили две уязвимости в механизмах изоляции кода (sandbox), которые критически подрывают безопасность системы:
CVE-2026-1470 - критическая уязвимость с оценкой CVSS 9.9, связанная с eval-инъекцией в механизме Expression Sandbox. Злоумышленник с базовыми правами может обойти фильтры безопасности и передать специально созданный JavaScript-код, который исполнится в контексте основного процесса n8n. Это фактически приводит к удалённому выполнению произвольного кода на сервере.
CVE-2026-0863 - уязвимость со sandbox-escape в компоненте, который отвечает за исполнение Python-кода. Аутентифицированный пользователь может обойти ограничения и выполнить произвольные Python-скрипты на хост-системе, что также может привести к захвату всей платформы.
Обе проблемы требуют наличия учётной записи, но их эксплуатация возможна даже без высоких привилегий.
Почему это опасно
Успешная эксплуатация одной из этих уязвимостей позволяет атакующему получить контроль над экземпляром n8n что может привести к следующему:
захвату автоматизированных процессов и данных;
доступу к интеграциям с ключевыми системами, включая API внешних сервисов;
компрометации инфраструктуры предприятия в целом, особенно если n8n используется для критичных рабочих задач и интеграций.
В документации n8n отмечается, что режим internal execution (встроенный режим исполнения) представляет дополнительные риски из-за слабой изоляции между компонентами, и пользователям рекомендуется переходить на external mode для лучшей безопасности.
Что делать сейчас
Разработчики n8n уже выпустили обновления, закрывающие эти бреши. Рекомендуется как можно скорее обновить платформу до следующих версий:
Для устранения CVE-2026-1470 - версии 1.123.17, 2.4.5 или 2.5.1 и выше.
Для устранения CVE-2026-0863 - версии 1.123.14, 2.3.5 или 2.4.2 и выше.
Если своевременное обновление невозможно, стоит максимально ограничить доступ к платформе и строго контролировать учётные записи, имеющие права на создание или редактирование автоматизаций.
Источник: HN