Nová kritická bezpečnostní zranitelnost byla odhalena v platformě pro automatizaci workflow n8n, která by v případě úspěšného zneužití mohla vést ke spuštění libovolných systémových příkazů.

Chyba sledovaná jako CVE-2026-25049 (CVSS skóre: 9,4) je výsledkem nedostatečné sanitizace, která obchází ochranná opatření zavedená k řešení CVE-2025-68613 (CVSS skóre: 9,9), další kritické chyby, kterou n8n opravil v prosinci 2025.

Problém se týká následujících verzí:

<1.123.17 (Opraveno ve verzi 1.123.17)

<2.5.2 (Opraveno ve verzi 2.5.2)

Až 10 bezpečnostních výzkumníků, včetně Fatiha Çelika, který nahlásil původní chybu CVE-2025-68613, stejně jako Crise Staicua z Endor Labs, Eilona Cohena z Pillar Security a Sandeepa Kambleho ze SecureLayer7, bylo oceněno za objevení tohoto nedostatku.

V technickém rozboru vysvětlujícím CVE-2025-68613 a CVE-2026-25049 Çelik uvedl, „že by mohly být považovány za stejnou zranitelnost, protože ta druhá je jen obejití původní opravy,“ a dodal, jak umožňují útočníkovi uniknout z mechanismu sandboxu výrazů n8n a obejít bezpečnostní kontroly.

Úspěšné zneužití zranitelnosti by mohlo útočníkovi umožnit kompromitovat server, ukrást přihlašovací údaje a exfiltrovat citlivá data, nemluvě o otevření příležitostí pro aktéry hrozeb k instalaci trvalých zadních vrátek pro usnadnění dlouhodobého přístupu.

Kybernetická bezpečnostní společnost také poznamenala, že závažnost chyby se výrazně zvyšuje, když je spárována s funkcí webhooku n8n, což útočníkovi umožňuje vytvořit workflow pomocí veřejného webhooku a přidat payload pro vzdálené spuštění kódu do uzlu ve workflow, což způsobí, že webhook bude veřejně přístupný po aktivaci workflow.

Zpráva společnosti Pillar popsala problém jako umožňující útočníkovi ukrást API klíče, klíče poskytovatelů cloudu, hesla databází, OAuth tokeny a přistupovat k souborovému systému a interním systémům, pivotovat na připojené cloudové účty a unést workflow umělé inteligence (AI).

Kromě CVE-2026-25049 n8n také vydal bezpečnostní upozornění na čtyři další chyby, včetně dvou, které jsou hodnoceny jako kritické:

CVE-2026-25053 (CVSS skóre: 9,4) – Zranitelnost injektáže příkazů operačního systému v uzlu Git, která umožňuje ověřeným uživatelům s oprávněním vytvářet nebo upravovat workflow spouštět libovolné systémové příkazy nebo číst libovolné soubory na hostiteli n8n (Opraveno ve verzích 2.5.0 a 1.123.10)

CVE-2026-25054 (CVSS skóre: 8,5) – Zranitelnost uloženého cross-site scriptingu (XSS) ovlivňující komponentu pro vykreslování markdownu používanou v rozhraní n8n, včetně poznámek workflow, která umožňuje ověřenému uživateli s oprávněním vytvářet nebo upravovat workflow spouštět skripty s oprávněními stejného původu, když ostatní uživatelé interagují se škodlivě vytvořeným workflow, což potenciálně vede k úniku relace a převzetí účtu (Opraveno ve verzích 2.2.1 a 1.123.9)

CVE-2026-25055 (CVSS skóre: 7,1) – Zranitelnost procházení cest, která umožňuje zápis souborů na nezamýšlená místa na vzdálených systémech, když workflow zpracovávají nahrané soubory a přenášejí je na vzdálené servery prostřednictvím uzlu SSH bez validace jejich metadat, což potenciálně vede ke vzdálenému spuštění kódu na těchto systémech (Opraveno ve verzích 2.4.0 a 1.123.12)

CVE-2026-25056 (CVSS skóre: 9,4) – Zranitelnost v režimu SQL Query uzlu Merge, která umožňuje ověřeným uživatelům s oprávněním vytvářet nebo upravovat workflow zapisovat libovolné soubory do souborového systému serveru n8n, což potenciálně vede ke vzdálenému spuštění kódu (Opraveno ve verzích 2.4.0 a 1.118.0)

Zdroj: thehackernews.com

Zdroj: IT SECURITY NETWORK NEWS