Son Gelişmeler ve Önemi
Son günlerde, CVE-2026-21858 koduyla belirlenen kritik bir güvenlik açığı, popüler bir iş akışı otomasyon platformu olan n8n‘da keşfedildi. Bu açığın, ağ üzerinden yetkisiz bir saldırganın sistem üzerinde tam kontrol sağlamasına olanak verdiği tespit edilmiştir.
Saldırı Nasıl Çalışıyor?
Bu güvenlik açığı, bir “Content-Type” hata akışı aracılığıyla saldırganın hassas verilere erişmesine ve sahte yönetici erişimi elde etmesine olanak tanımaktadır. Saldırgan, form tabanlı akışları kullanarak sunucudaki dosyalara erişim sağlayabilir. Özellikle, saldırı şu adımlarla gerçekleşebilir:
- Arbitrary read (rastgele okuma) işlemi ile veritabanına erişim gerçekleştirerek bilgileri çıkarma.
- Yönetici kimlik bilgilerini elde etme.
- Gizli anahtarları kullanarak sahte oturum çerezi oluşturma ve yönetici erişimi kazanma.
- Yeni bir iş akışı oluşturarak uzaktan kod çalıştırma (RCE) elde etme.
Etkilenen Sistemler
CVE-2026-21858 açığı, n8n’in 1.65.0 ve önceki tüm versiyonlarını etkilemektedir. Bu güvenlik açığı, çok sayıda kritik güvenlik açığı ile bir arada değerlendirilmekte ve önemli tehditler oluşturmaktadır.
- CVE-2025-68613 (CVSS puanı: 9.9) – Dinamik olarak yönetilen kod kaynakları üzerinde hatalı kontrol sağlama.
- CVE-2025-68668 veya N8scape (CVSS puanı: 9.9) – Sandbox geçiş açığı.
- CVE-2026-21877 (CVSS puanı: 10.0) – Tehlikeli bir tür dosya yükleme açığı.
Çözüm ve Korunma
n8n, bu güvenlik açığını gidermek için 1.121.0 versiyonunu 18 Kasım 2025 tarihinde yayınladı. Kullanıcıların mümkün olan en kısa sürede güncellemeleri yapması şiddetle önerilmektedir. Ayrıca, kullanıcılar aşağıdaki önlemleri alarak sistemlerini korumalıdır:
- n8n’i internete açmaktan kaçının.
- Tüm formlar için kimlik doğrulama uygulayın.
- Açık webhook ve form uç noktalarını sınırlayın veya devre dışı bırakın.
Sonuç
Geliştiricilerin, sistemlerinin hasar görmemesi için en güncel versiyonlara geçmesi ve yukarıda belirtilen önlemleri alması gerekmektedir. Güvenlik açıklarının ciddiyeti göz önüne alındığında, himaye almak ve sistemleri korumak tartışılmaz bir zorunluluktur.
