Yeni Hassasiyetler: n8n Platformunda Güvenlik Açıkları
Cybersecurity araştırmacıları, n8n iş akışı otomasyon platformunda kritik önemde iki güvenlik açığı tespit etti. Bu zafiyetler, uzaktan kod yürütülmesine olanak tanıyarak ciddi riskler oluşturuyor.
Etkilenen Güvenlik Açıkları
JFrog Güvenlik Araştırma ekibi tarafından ortaya çıkarılan zafiyetler aşağıdaki gibidir:
- CVE-2026-1470 (CVSS puanı: 9.9) – Kimlik doğrulaması yapılmış bir kullanıcının, Expression sandbox mekanizmasını aşarak n8n’nin ana düğümünde tam uzaktan kod yürütülmesine olanak sağlayan bir eval injection zafiyeti.
- CVE-2026-0863 (CVSS puanı: 8.5) – Kimlik doğrulaması yapılmış bir kullanıcının, n8n’nin python-task-executor sandbox kısıtlamalarını aşarak alt sistemde keyfi Python kodlarını çalıştırmasına olanak tanıyan bir eval injection zafiyeti.
Shachar Menashe, JFrog’un güvenlik araştırmaları başkan yardımcısı, CVE-2026-1470’in yüksek CVSS puanının sebebinin “n8n kullanıcılarının bu sorunu istismar edebileceği ve tüm n8n örneğini tam anlamıyla ele geçirebileceğidir,” diyerek bunun tehlikesini vurguladı.
Saldırı Nasıl Çalışıyor?
Bu güvenlik açıklarının başarılı bir şekilde istismar edilmesi, bir saldırganın n8n örneğini ele geçirmesine olanak sağlayabilir. Bu durum, n8n’nin “iç” çalışma modunda bile geçerlidir. n8n belgelerine göre, üretim ortamlarında iç modun kullanılmasının güvenlik riski taşıdığı belirtiliyor ve kullanıcıların dış mod kullanmaları öneriliyor.
Etkilenen Sistemler
JFrog, n8n’nin organizasyon genelinde AI iş akışlarını otomatikleştirdiği için, n8n’nin temel araçları, fonksiyonları ve altyapı verilerine erişim sağladığını belirtiyor. Bu durum, bir hacker’a şirketin tümüne ait bir “anahtar” veriyor.
Çözüm ve Korunma
Bu zafiyetleri gidermek için, kullanıcıların aşağıdaki versiyonlara güncellemeleri önerilmektedir:
- CVE-2026-1470 için: 1.123.17, 2.4.5 veya 2.5.1
- CVE-2026-0863 için: 1.123.14, 2.3.5 veya 2.4.2
Sorunlar, Cyera Araştırma Laboratuvarları tarafından yalnızca birkaç hafta önce açıklanan, kimlik doğrulaması gerektirmeyen bir güvenlik açığıyla (CVE-2026-21858) birlikte ortaya çıktı. Shadowserver Vakfı’na göre, 27 Ocak 2026 itibarıyla 39,000’den fazla n8n örneği hala bu zafiyetten etkilenmektedir.
Nathan Nehorai, bu zafiyetlerin dinamik, yüksek seviyeli dillerin (JavaScript ve Python gibi) güvenli bir şekilde sandbox içinde çalışmasının ne kadar zor olduğunu vurguladı. “Birçok doğrulama katmanına, red listelere ve AST bazlı kontrol sistemlerine rağmen, dilin ince özellikleri ve çalışma zamanı davranışları güvenlik varsayımlarını aşmak için kullanılabiliyor.”
Sonuç
Kullanıcıların, sistemlerini güncelleyerek korunma sağlamaları kritik önem taşımaktadır. Bu güncellemeleri yapmadığınız takdirde, ciddi güvenlik tehditleriyle karşı karşıya kalabilirsiniz. Port kapatma işlemleri veya daha fazla güvenlik önlemleri almak da ek olarak önerilmektedir.
