Krytyczna luka w n8n: Podatność o skali CVSS 9.9 zagraża serwerom automatyzacji

Eksperci ds. cyberbezpieczeństwa zidentyfikowali krytyczną lukę w oprogramowaniu n8n – popularnej platformie typu „low-code” służącej do automatyzacji procesów biznesowych. Podatność, której nadano niemal maksymalną ocenę w skali CVSS (9.9), pozwala nieuwierzytelnionym napastnikom na zdalne wykonanie dowolnego kodu na serwerze, co stwarza bezpośrednie ryzyko całkowitego przejęcia infrastruktury IT organizacji.

Luka bezpieczeństwa, zidentyfikowana jako CVE-2025-52055, wynika z błędu w sposobie, w jaki n8n obsługuje określone żądania API związane z funkcją „Expression”. Wadliwy mechanizm walidacji danych wejściowych pozwala atakującemu na wstrzyknięcie złośliwego kodu, który jest następnie wykonywany z uprawnieniami instancji serwera. Ze względu na to, że n8n jest często integrowane z dziesiątkami innych usług firmowych (takich jak systemy CRM, bazy danych czy komunikatory), uzyskanie dostępu do tej platformy otwiera napastnikowi drogę do szerokiej eksfiltracji wrażliwych danych korporacyjnych oraz infekowania kolejnych ogniw w łańcuchu dostaw.

Zagrożenie jest tym poważniejsze, że do przeprowadzenia skutecznego ataku nie jest wymagane posiadanie jakichkolwiek uprawnień ani wcześniejszego dostępu do konta użytkownika. Badacze z firmy zajmującej się bezpieczeństwem chmury wykazali, że luka może zostać wykorzystana poprzez wysłanie specjalnie spreparowanego pakietu danych do publicznie dostępnej instancji n8n. W odpowiedzi na te doniesienia, zespół deweloperski n8n wydał w trybie pilnym poprawki bezpieczeństwa. Administratorzy systemów korzystający z wersji wcześniejszych niż 1.71.2 (dla linii 1.x) są proszeni o niezwłoczną aktualizację oprogramowania do najnowszej bezpiecznej wersji.

Mimo że do tej pory nie odnotowano masowych ataków wykorzystujących tę konkretną lukę w środowiskach produkcyjnych, w sieci zaczęły pojawiać się pierwsze dowody koncepcji (Proof-of-Concept, PoC) demonstrujące sposób jej użycia. Eksperci zalecają, aby oprócz samej aktualizacji, zespoły SOC (Security Operations Center) zweryfikowały logi serwerów pod kątem nietypowych wywołań API pochodzących z nieznanych adresów IP. W przypadku braku możliwości natychmiastowego patchowania, zaleca się ograniczenie dostępu do interfejsu n8n wyłącznie do zaufanych sieci VPN lub bezpiecznych bramek dostępowych.