+7 (812) 677-17-05

Критическая CVE в n8n

#

В n8n, платформе для автоматизации рабочих процессов, закрыли критическую уязвимость под удалённое выполнение кода на 9.9 по CVSS. С аутентификацией, но низкими привилегиями.

Судя по описанию, инъекция выражений на стороне сервера, побег из песочницы и компрометация Node[.]js c RCE. Другие компоненты затронуты, импакт тотальный с полной компрометацией инстанса, так что почти десяточка. Сервис довольно популярный: 57 тысяч загрузок в неделю, в сети доступны ~100 тысяч потенциально уязвимых инстансов.

Из костылей ограничения на создание рабочих процессов и только для доверенных юзеров плюс харденинг доступа, да и то лишь в качестве временной меры. Так что пришло время накатывать патчи. Донесите до причастных, пока они ещё в состоянии тыкать по клавишам перед новогодними увеселениями. Пока ты празднуешь, злоумышленник работает!

А главной CVE декабря стала, конечно же, React2Shell.

26.12.2025 Новости
Читайте все свежие новости первыми. Подписывайтесь на нас в Telegram
Том Хантер Том Хантер Pentest Guru

Мистер Том Хантер, вдохновитель нашей компании по обеспечению кибербезопасности

Спасибо

Спасибо, что заполнили форму! Мы свяжемся с вами в ближайшее время по указанным контактным данным!

Обратный звонок

Заполните форму и наш специалист свяжется с вами в ближайшее время.

    Выражаю согласие на обработку моих персональных данных в соответствии с Политикой в отношении обработки персональных данных в ООО «Ти Хантер»