Ένα κρίσιμο θέμα ευπάθειας απομακρυσμένης εκτέλεσης κώδικα χωρίς έλεγχο ταυτότητας που ανακαλύφθηκε στο n8n, τη δημοφιλή πλατφόρμα αυτοματισμού ροής εργασιών, εκθέτει περίπου 100.000 διακομιστές παγκοσμίως στην ολοκλήρωση της εξαγοράς.
Παρακολούθηση ως CVE-2026-21858 με μέγιστη βαθμολογία CVSS 10,0, το ελάττωμα επιτρέπει μη επιβεβαιωμένοι επιτιθέμενοι για να εκτελέσετε αυθαίρετες εντολές συστήματος και να επιτύχετε πλήρη συμβιβασμό του κεντρικού υπολογιστή χωρίς να ενεργοποιήσετε κανέναν συναγερμό.
Η ευπάθεια επηρεάζει όλες τις εκδόσεις n8n πριν από την 1.121.0 και ενέχει τον υψηλότερο κίνδυνο για τις αυτο-φιλοξενούμενες, εκτεθειμένες στο διαδίκτυο αναπτύξεις.
Σύμφωνα με τα δεδομένα του Censys, 26.512 ευάλωτοι κεντρικοί υπολογιστές είναι επί του παρόντος ανιχνεύσιμοι και προσβάσιμοι από το Διαδίκτυο, παρουσιάζοντας μια άμεση επιφάνεια απειλής τόσο για ευκαιριακούς επιτιθέμενους όσο και για εξελιγμένους παράγοντες απειλών.
Το n8n έχει γίνει η ραχοκοκαλιά της υποδομής εταιρικού αυτοματισμού. Με πάνω από 100 εκατομμύρια προσελκύσεις Docker και υιοθέτηση σε χιλιάδες επιχειρήσεις, η πλατφόρμα λειτουργεί ως κεντρικό σημείο ενοποίησης που συνδέει τις οργανωτικές ροές εργασιών, συνδέοντας τα πάντα, από το Google Drive και το Salesforce έως τους επεξεργαστές πληρωμών, τις βάσεις δεδομένων πελατών και τους αγωγούς CI/CD.
Μια παραβιασμένη παρουσία n8n γίνεται κύριο κλειδί για ολόκληρη την ψηφιακή υποδομή ενός οργανισμού.
Η εκμεταλλευσιμότητα της ευπάθειας πηγάζει από ένα λεπτό αλλά κρίσιμο ελάττωμα στον τρόπο με τον οποίο τα στοιχεία webhook του n8n αναλύουν τα εισερχόμενα αιτήματα. Ο κόμβος Form Webhook, που αναπτύσσεται συνήθως σε συστήματα HR για μεταφορτώσεις βιογραφικών, πύλες πελατών για υποβολές αρχείων και πλατφόρμες εταιρικής βάσης γνώσης, αποτυγχάνει να επαληθεύσει την κεφαλίδα Content-Type πριν από την επεξεργασία των μεταφορτώσεων αρχείων. Αυτή η παράβλεψη επιτρέπει στους εισβολείς να χειρίζονται τη λογική ανάλυσης αιτημάτων και να παρακάμπτουν τους μηχανισμούς διαχείρισης αρχείων.
Από την παράκαμψη ελέγχου ταυτότητας στην εκτέλεση κώδικα
Η αλυσίδα εκμετάλλευσης που κυκλοφόρησε η CYERA αρχίζει με μια επίθεση σύγχυσης τύπου περιεχομένου. Όταν ένας εισβολέας αλλάζει την κεφαλίδα Content-Type από multipart/form-data σε application/json, το ενδιάμεσο λογισμικό καλεί τον κανονικό αναλυτή σώματος αντί για τον αναλυτή μεταφόρτωσης αρχείων.
Αυτό επιτρέπει σε έναν εισβολέα να εισάγει αυθαίρετες διαδρομές αρχείου στο αντικείμενο req.body.files παρακάμπτοντας αποτελεσματικά τις προστασίες ασφαλείας του Formidable που συνήθως αποτρέπουν επιθέσεις διέλευσης διαδρομής.
Μόλις ένας εισβολέας ελέγξει την παράμετρο διαδρομής αρχείου, μπορεί να διαβάσει οποιοδήποτε τοπικό αρχείο από τον κεντρικό υπολογιστή n8n. Αυτό το αυθαίρετο πρωτόγονο για ανάγνωση αρχείων αποτελεί τη βάση για την κλιμάκωση των προνομίων.
Το n8n αποθηκεύει τα διαπιστευτήρια χρήστη και τα μυστικά ελέγχου ταυτότητας τοπικά στο δίσκο σε μη κρυπτογραφημένη μορφή. Η βάση δεδομένων συνήθως βρίσκεται στο /home/node/.n8n/database.sqlite, ενώ τα μυστικά κρυπτογράφησης αποθηκεύονται σε /home/node/.n8n/config.
Με την εκμετάλλευση της ευπάθειας για τη φόρτωση αυτών των αρχείων διαμόρφωσης σε μια οργανωτική βάση γνώσεων μέσω του κόμβου Form, οι εισβολείς μπορούν να εξαγάγουν τα διαπιστευτήρια χρήστη διαχειριστή και τα μυστικά υπογραφής JWT.
Με αυτές τις πληροφορίες, οι εισβολείς μπορούν να πλαστογραφήσουν έγκυρα cookie ελέγχου ταυτότητας και να παρακάμψουν όλους τους μηχανισμούς ελέγχου ταυτότητας, συνδέοντας αποτελεσματικά ως διαχειριστής συστήματος χωρίς να γνωρίζουν τον πραγματικό κωδικό πρόσβασης.
Μόλις γίνει έλεγχος ταυτότητας ως διαχειριστής, η επίτευξη της εκτέλεσης κώδικα γίνεται ασήμαντη. Ο κόμβος “Execute Command” του n8n επιτρέπει στους χρήστες να εκτελούν αυθαίρετες εντολές συστήματος.
Ένας εισβολέας απλώς δημιουργεί μια νέα ροή εργασίας που περιέχει αυτόν τον κόμβο και εκτελεί κακόβουλες εντολές με τα ίδια δικαιώματα με τη διαδικασία n8n, που συνήθως εκτελούνται ως root σε αναπτύξεις με κοντέινερ.
Από αυτό το σημείο, η ακτίνα της έκρηξης επεκτείνεται καταστροφικά. Οι εισβολείς αποκτούν πρόσβαση σε όλα τα διαπιστευτήρια API, τα διακριτικά OAuth, τις συμβολοσειρές σύνδεσης βάσης δεδομένων και τα διαπιστευτήρια αποθήκευσης cloud που είναι αποθηκευμένα στο n8n. Σε μεγάλες επιχειρήσεις όπου χιλιάδες εργαζόμενοι διοχετεύουν αυτοματισμούς μέσω μιας μόνο παρουσίας n8n, αυτό αντιπροσωπεύει έναν πλήρη συμβιβασμό υποδομής.
Οι συνέπειες εκτείνονται πολύ πέρα από ένα ενιαίο διακυβευμένο σύστημα. Σκεφτείτε μια εταιρεία Fortune 500 που χρησιμοποιεί το n8n για να ενορχηστρώσει αυτοματισμούς σε όλα τα τμήματα: ροές εργασιών HR που επεξεργάζονται δεδομένα εργαζομένων, αυτοματισμοί χρηματοδότησης που χειρίζονται την επεξεργασία πληρωμών, ομάδες λειτουργιών που διαχειρίζονται υποδομές cloud και ομάδες μηχανικών που ενσωματώνονται με αγωγούς CI/CD.
Ένα παραβιασμένο στιγμιότυπο n8n γίνεται το σημείο αναφοράς για την πλευρική κίνηση σε ολόκληρη τη στοίβα τεχνολογίας του οργανισμού.
Οι επιτιθέμενοι αποκτούν τη δυνατότητα να αναπτύσσουν κακόβουλο λογισμικό σε εξαρτημένα συστήματα, να εκμεταλλεύονται ευαίσθητα δεδομένα, συμπεριλαμβανομένων εμπορικών μυστικών και πληροφοριών πελατών, να χειραγωγούν οικονομικές συναλλαγές, να παραβιάζουν τους αγωγούς ανάπτυξης και να δημιουργούν μόνιμες κερκόπορτες για μακροπρόθεσμη πρόσβαση.
n8n έκδοση που κυκλοφόρησε 1.121.0 στις 18 Νοεμβρίου 2025, το οποίο αντιμετωπίζει αυτό το κρίσιμο ελάττωμα. Η κοινότητα ασφαλείας θα πρέπει να το αντιμετωπίσει ως μια ενημέρωση κώδικα έκτακτης ανάγκης που απαιτεί άμεση ανάπτυξη σε όλες τις περιπτώσεις.
Οι οργανισμοί θα πρέπει να εφαρμόσουν την ακόλουθη στρατηγική αποκατάστασης: να ενημερώσουν αμέσως το n8n στην έκδοση 1.121.0 ή μεταγενέστερη, να περιορίσουν τις εμφανίσεις n8n από την άμεση έκθεση στο διαδίκτυο όταν είναι δυνατόν, να απαιτήσουν έλεγχο ταυτότητας για όλους τους κόμβους φόρμας και να ελέγξουν όλες τις ροές εργασίας και τα αποθηκευμένα διαπιστευτήρια για μη εξουσιοδοτημένες τροποποιήσεις.
Το χρονοδιάγραμμα υπεύθυνης αποκάλυψης από την αρχική αναφορά στις 9 Νοεμβρίου 2025, μέσω της ανάθεσης CVE στις 6 Ιανουαρίου 2026, καταδεικνύει τη δέσμευση της ομάδας ασφαλείας της n8n για την ταχεία αντιμετώπιση των τρωτών σημείων.
Ωστόσο, το παράθυρο μεταξύ της έκδοσης ενημερώσεων κώδικα και της ευρείας ανάπτυξης είναι μια κρίσιμη περίοδος ευπάθειας κατά την οποία χιλιάδες εκτεθειμένες περιπτώσεις παραμένουν σε κίνδυνο.
Οι 26.512 εκτεθειμένες περιπτώσεις n8n που είναι ορατές επί του παρόντος στη σάρωση μέσω Διαδικτύου αντιπροσωπεύουν μια ενεργή επιφάνεια απειλής. Οι οργανισμοί θα πρέπει να δώσουν προτεραιότητα σε αυτήν την ευπάθεια για άμεση ενημέρωση κώδικα και να εφαρμόσουν τμηματοποίηση δικτύου για να αποτρέψουν την εξωτερική πρόσβαση σε πλατφόρμες αυτοματισμού.
Δεδομένου του ρόλου του n8n ως κεντρικού κόμβου ολοκλήρωσης, αυτή η ευπάθεια είναι ένα από τα ζητήματα ασφάλειας υψηλότερης προτεραιότητας για τις επιχειρήσεις που λειτουργούν υποδομές αυτοματισμού ροής εργασιών το 2026.
