Az n8n automatizálási eszköz két olyan biztonsági hibát is magában hordoz, amelyek komoly veszélyt jelentenek a felhasználókra. Mindkét sérülékenység lehetővé teszi, hogy bejelentkezett támadók tetszőleges kódot futtassanak a szerveren, ami teljes rendszer kompromittáláshoz vezethet. A problémák súlyosságát jelzi, hogy a legrosszabb esetben teljes hozzáférést kaphat valaki a szerver minden adatához és funkcionalitásához.
Miért népszerű az n8n?
Az n8n egy nyílt forráskódú munkafolyamat-automatizálási platform, amely vizuális, blokkokból építkező felületet kínál. Különféle alkalmazások, szolgáltatások és API-k összekapcsolására alkalmas anélkül, hogy mélyebb programozói tudásra lenne szükség. Fejlesztők, rendszergazdák és vállalkozások tömegei használják napi rutinfeladatok automatizálására, legyen szó adatfeldolgozásról, értesítésekről vagy üzleti folyamatokról.
A platform népszerűsége rohamosan nő. Az npm csomagkezelőn keresztül hetente több mint ötven-hetvenezer alkalommal töltik le, és világszerte több mint százezernél is több publikusan elérhető példány üzemel. A legtöbb felhasználó az Egyesült Államokban, Németországban, Franciaországban, Brazíliában és Szingapúrban található.
A munkafolyamat-kifejezések sebezhetősége
A CVE-2025-68613 azonosítójú hiba a platform legkritikusabb sérülékenysége. A probléma az n8n munkafolyamat-kifejezéseinek kiértékelési rendszerében rejlik, ahol a bejelentkezett felhasználók rosszindulatú kódokat injektálhatnak. Ezek a kódok megkerülik a biztonsági elszigetelést, és az n8n folyamat jogosultságaival futnak le a szerveren.
A biztonsági rés kihasználásához workflow-szerkesztési jogosultság szükséges, ami első ránézésre korlátozónak tűnik. A gyakorlatban azonban sok felhasználó rendelkezik ilyen joggal, hiszen az automatizálási platformok lényege éppen a workflow-k létrehozásában és módosításában rejlik. A támadó így teljes hozzáférést szerezhet a szerverhez, ellophatja az érzékeny adatokat, módosíthatja a munkafolyamatokat vagy hátsó ajtókat telepíthet.
Az összes olyan verzió érintett, amely újabb mint a 0.211.0, de régebbi mint az 1.120.4. A hibát egy biztonsági kutató fedezte fel és december közepén tették közzé a részleteket, proof-of-concept kóddal együtt. Eddig nem jelentettek valós támadásokat, de a nyilvánosságra került bizonyítékokkal ez bármikor megváltozhat.
Git műveletek biztonsági problémája
A CVE-2025-65964 egy másik kritikus hiba, amely a Git node komponensben található. A támadók itt a konfigurációs beállításokon keresztül rosszindulatú Git hookokat futtathatnak, amikor a rendszer klónoz egy repository-t vagy commitot végrehajt. Ehhez szintén workflow-szerkesztői jogosultság kell, de a következmények ugyanolyan súlyosak.
Az érintett verziók széles skálája 0.123.1-től 1.119.1-ig terjed. Több nemzeti kiberbiztonsági központ is azonnali javítást javasol, kiemelve a potenciális adatvesztés és üzemzavar veszélyét. Ez a sérülékenység különösen veszélyes lehet olyan környezetekben, ahol a Git integrációt aktívan használják a verziókezeléshez vagy a kódbázis szinkronizálásához.
Automatizálás és biztonság
Ezek a hibák jól illeszkednek a modern automatizálási eszközök általános problémájába. A no-code és low-code megoldások rohamos terjedése új kihívásokat hoz a biztonság területén. A self-hosted megoldások ugyan nagyobb rugalmasságot kínálnak, de a felhasználók felelőssége a rendszeres frissítések telepítése. A több tízezer nyilvánosan elérhető instancia létezése arra utal, hogy sokan nem követik kellő figyelemmel a biztonsági ajánlásokat.
Az n8n fejlesztői csapata viszont gyorsan reagált. A CVE-2025-68613 hibát az 1.120.4, 1.121.1 és 1.122.0 verziókban javították, míg a CVE-2025-65964 problémát az 1.119.2-es kiadásban orvosolták. Ez példaértékű tempó a nyílt forráskódú projektek világában, és mutatja a közösségi fejlesztés egyik legnagyobb előnyét: az átláthatóságot és a gyors reagálást.
Mit tegyünk a védelem érdekében?
Az első és legfontosabb lépés a rendszer azonnali frissítése a legújabb verzióra. Természetesen éles környezetben ezt alapos tesztelés után érdemes megtenni. A workflow-szerkesztési jogosultságokat korlátozni kell, csak megbízható rendszergazdák kapjanak ilyen hozzáférést. Ha nincs rá szükség, a Git node komponenst le lehet tiltani a platformon.
A szerverkörnyezet megerősítése ugyancsak kulcsfontosságú. Érdemes minimális jogosultságokkal futtatni az n8n folyamatot, hálózati tűzfalakat beállítani és csak a szükséges portokat megnyitni. Különösen az internetre kitett példányoknál fontos a többrétegű védelem kialakítása, mert egy sérülékenység kihasználása itt különösen egyszerű lehet.
Tanulságok a jövőre nézve
Az esetek hatására valószínűleg erősödni fog a biztonsági szemlélet a hasonló platformoknál. Várható, hogy szigorúbb sandbox megoldások, kifinomultabb jogosultságkezelési rendszerek és automatikus frissítési mechanizmusok terjednek el. Más automatizálási eszközök, például a Home Assistant vagy a Node-RED közösségei is tanulhatnak ezekből a hibákból.
A vállalatoknak és magánfelhasználóknak egyaránt átgondoltan kell megközelíteniük az automatizálást. A hatékonyság növelése fontos cél, de csak biztonságos alapokon érdemes építkezni. Az n8n esete jól szemlélteti, hogy a népszerű eszközök sem mentesek a kritikus hibáktól, és a felhasználók aktív szerepe elengedhetetlen a biztonság fenntartásában.
A no-code forradalom kétségkívül demokratizálja a technológiát, de új felelősségeket is teremt. A több százezer aktív felhasználó közül sokakat érintenek ezek a sérülékenységek, ezért a gyors reagálás és a rendszeres frissítések kultúrája létfontosságú. A platform érettsége folyamatosan növekszik, és remélhetőleg a jövőben kevesebb ilyen incidens fordul elő.
