Giriş
Son günlerde açığa çıkan kritik güvenlik açıkları, popüler açık kaynak iş akış otomasyon platformu n8n’i ciddi şekilde tehdit ediyor. Bu zafiyetler, herhangi bir yetkilendirilmiş kullanıcının sunucuyu tamamen ele geçirebilmesini sağlıyor ve siber güvenlik uzmanlarının dikkatini çekiyor.
Saldırı Nasıl Çalışıyor?
*n8n* platformunda, CVE-2026-25049 kodu ile takip edilen bu kritik güvenlik açıkları, kullanıcıların iş akışlarını oluşturma veya düzenleme yetkisi olan herhangi birinin, sunucuda sınırsız uzak kod yürütme gerçekleştirmesine olanak tanıyor. Bu açıklar, n8n’in sanitizasyon mekanizmasındaki zayıflıklardan kaynaklanmakta ve CVE-2025-68613 kodlu zafiyet için getirilen yamanın etkisiz hale gelmesine neden oluyor.
Pillar Security tarafından yapılan araştırmalara göre, bu zafiyetler, n8n örneğini tamamen tehlikeye atarak sunucudaki tüm şifreleri, API anahtarlarını, OAuth token’larını ve hassas yapılandırma dosyalarını çalmaya olanak tanıyor. Zafiyeti istismar eden saldırganlar, dosya sistemine erişim sağlayarak bağlantılı bulut hesaplarına geçiş yapabiliyor ve AI iş akışlarını ele geçirebiliyor.
Etkilenen Sistemler
Belirtilen zafiyetler, n8n’in çok kiracılı yapısının bir sonucu olarak, iç küme hizmetlerine erişimi sağlayarak diğer kiracıların verilerine geçişi mümkün kılmaktadır. Bu durum, sadece tek bir n8n örneğini değil, birçok işletmeyi riske atmaktadır.
Saldırı için özel bir yetenek gerekmemekte; iş akışı oluşturan herkes sunucuyu ele geçirebilir. Pillar Security, “Eğer bir iş akışı oluşturabiliyorsanız, sunucuyu alabilirsiniz” ifadesiyle durumu özetlemektedir.
Çözüm ve Korunma
n8n kullanıcılarının, platformu en güncel versiyon (şu anda 1.123.17 ve 2.5.2) ile güncellemeleri şarttır. Pillar güvenliği ayrıca, ‘N8N_ENCRYPTION_KEY’ anahtarını ve sunucuda saklanan tüm kimlik bilgilerini değiştirmenizi öneriyor. İş akışlarını, şüpheli ifadeler açısından gözden geçirmekte fayda var.
Eğer güncelleme mümkün değilse, n8n ekibi yöneticiler için geçici bir çözüm sunmaktadır:
- İş akışı oluşturma ve düzenleme izinlerini sadece güvenilir kullanıcılara sınırlayın.
- n8n’i, potansiyel istismar etkisini azaltacak şekilde sınırlı işletim sistemi yetkileri ve ağ erişimi ile sertleştirilmiş bir ortamda dağıtın.
Şu an için CVE-2026-25049 zafiyetinin kamuya açıklanan bir istismarının gerçekleştiğine dair bir rapor bulunmamakla birlikte, n8n’in artan popülaritesi, siber suçluların dikkatini çekmiş görünüyor. GreyNoise, yayımlanan raporunda, 27 Ocak ile 3 Şubat arasında 33.000’den fazla potansiyel kötü niyetli istemin gözlemlendiğini bildirmiştir.
Güncellemelerinizi yapmayı unutmayın ve iş akışlarınızı daima kontrol altında tutun.
