Критическая уязвимость в популярной платформе автоматизации n8n, оцененная как максимальная по степени опасности, оставила под угрозой захвата около 100 000 серверов. Причина кроется в изъяне, настолько серьезном, что для эксплуатации не требуется даже авторизация.
Уязвимость, обнаруженная исследователями из компании Cyera, имеет наивысший балл CVSS 10.0 и получила меткое название “ni8mare”. Уязвимость, отслеживаемая как CVE-2026-21858, позволяет злоумышленнику без аутентификации выполнять произвольный код в скомпрометированных системах, фактически передавая полный контроль над затронутой средой. Единственным способом защиты является установка патча; пользователям настоятельно рекомендуется обновиться до версии n8n 1.121.0 или новее.
n8n — это инструмент автоматизации с открытым исходным кодом, который многие организации используют для интеграции чат-приложений, форм, облачных хранилищ, баз данных и сторонних API. Платформа может похвастаться более чем 100 миллионами загрузок через Docker, миллионами пользователей и тысячами компаний, применяющих ее для автоматизации всего — от внутренних рабочих процессов до клиентских операций.
По данным Cyera, корень проблемы лежит в том, как n8n обрабатывает вебхуки — механизм, используемый для запуска рабочих процессов при поступлении данных из внешних систем, таких как веб-формы, платформы обмена сообщениями или сервисы уведомлений. Используя так называемую “путаницу типов содержимого” (Content-Type Confusion), атакующий может манипулировать HTTP-заголовками для перезаписи внутренних переменных, используемых приложением. Это, в свою очередь, позволяет ему считывать произвольные файлы из базовой системы и эскалировать атаку до полного удаленного выполнения кода.
Проще говоря, любой, кто может получить доступ к уязвимому экземпляру n8n по сети, может полностью захватить его без каких-либо учетных данных, а затем получить доступ ко всем системам, с которыми этот экземпляр связан.
Как отметил исследователь Cyera Дор Аттиас: “Представьте крупное предприятие с более чем 10 000 сотрудников, использующее один сервер n8n. Компрометация экземпляра n8n означает не просто потерю одной системы — это передача злоумышленникам ключей от всего. Учетные данные API, токены OAuth, соединения с базами данных, облачные хранилища — все это централизовано в одном месте”.
Именно эта централизация делает уязвимость столь опасной. n8n часто доверяют высокоценными секретами и широкими правами доступа, поскольку он управляет рабочими процессами в пределах всего цифрового ландшафта организации.
“Масштаб ущерба от скомпрометированного n8n огромен”, — предупредил Аттиас. “n8n соединяет бесчисленное количество систем: ваш корпоративный Google Drive, ключи API OpenAI, данные Salesforce, системы IAM, платежные шлюзы, базы данных клиентов, конвейеры CI/CD и многое другое. Это центральная нервная система вашей инфраструктуры автоматизации”.
Cyera отмечает быстрое реагирование n8n после раскрытия проблемы. Компания сообщила, что направила частное уведомление об уязвимости 9 ноября 2025 года, а команда безопасности n8n подтвердила наличие проблемы на следующий день. Исправление было незаметно выпущено 18 ноября в рамках релиза 1.121.0, за несколько недель до того, как на этой неделе уязвимости был присвоен идентификатор CVE.
n8n не сразу ответил на вопросы издания The Register.
Патч вышел с минимальным освещением, а это значит, что некоторые организации все еще могут использовать уязвимые версии — особенно в средах с самостоятельным размещением (self-hosted), где уведомления от разработчиков не всегда читаются. Учитывая широкое распространение ПО, оставление его без обновления — это открытое приглашение для злоумышленников, ищущих быстрые и высокодоходные цели. ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Qual-score: 8/9
Bayan-score: 0.892842531
Автор – Carly Page
