Siber Güvenlik

Acil! n8n Kritik Açığı: Kimlik Doğrulama Olmadan Kontrol Ele Geçirme

teknomers
teknomers

Son Gelişmeler ve Önemi

Son günlerde, CVE-2026-21858 koduyla belirlenen kritik bir güvenlik açığı, popüler bir iş akışı otomasyon platformu olan n8n‘da keşfedildi. Bu açığın, ağ üzerinden yetkisiz bir saldırganın sistem üzerinde tam kontrol sağlamasına olanak verdiği tespit edilmiştir.

Saldırı Nasıl Çalışıyor?

Bu güvenlik açığı, bir “Content-Type” hata akışı aracılığıyla saldırganın hassas verilere erişmesine ve sahte yönetici erişimi elde etmesine olanak tanımaktadır. Saldırgan, form tabanlı akışları kullanarak sunucudaki dosyalara erişim sağlayabilir. Özellikle, saldırı şu adımlarla gerçekleşebilir:

  • Arbitrary read (rastgele okuma) işlemi ile veritabanına erişim gerçekleştirerek bilgileri çıkarma.
  • Yönetici kimlik bilgilerini elde etme.
  • Gizli anahtarları kullanarak sahte oturum çerezi oluşturma ve yönetici erişimi kazanma.
  • Yeni bir iş akışı oluşturarak uzaktan kod çalıştırma (RCE) elde etme.

Etkilenen Sistemler

CVE-2026-21858 açığı, n8n’in 1.65.0 ve önceki tüm versiyonlarını etkilemektedir. Bu güvenlik açığı, çok sayıda kritik güvenlik açığı ile bir arada değerlendirilmekte ve önemli tehditler oluşturmaktadır.

  • CVE-2025-68613 (CVSS puanı: 9.9) – Dinamik olarak yönetilen kod kaynakları üzerinde hatalı kontrol sağlama.
  • CVE-2025-68668 veya N8scape (CVSS puanı: 9.9) – Sandbox geçiş açığı.
  • CVE-2026-21877 (CVSS puanı: 10.0) – Tehlikeli bir tür dosya yükleme açığı.

Çözüm ve Korunma

n8n, bu güvenlik açığını gidermek için 1.121.0 versiyonunu 18 Kasım 2025 tarihinde yayınladı. Kullanıcıların mümkün olan en kısa sürede güncellemeleri yapması şiddetle önerilmektedir. Ayrıca, kullanıcılar aşağıdaki önlemleri alarak sistemlerini korumalıdır:

  • n8n’i internete açmaktan kaçının.
  • Tüm formlar için kimlik doğrulama uygulayın.
  • Açık webhook ve form uç noktalarını sınırlayın veya devre dışı bırakın.

Sonuç

Geliştiricilerin, sistemlerinin hasar görmemesi için en güncel versiyonlara geçmesi ve yukarıda belirtilen önlemleri alması gerekmektedir. Güvenlik açıklarının ciddiyeti göz önüne alındığında, himaye almak ve sistemleri korumak tartışılmaz bir zorunluluktur.

Çiplerdeki Ürün Yazılımı Güvenlik Açığı, Bilgisayar Korsanlarının Sistemlerin Kontrolünü Ele Geçirmesine Yardımcı Olur
Tehdit Aktörleri, Saldırı Kampanyasında Komuta ve Kontrol için Microsoft OneDrive’ı Kullanıyor
Microsoft, daha akıcı bir tarama deneyimi için can sıkıcı video oynatma sorunlarını ele alarak Edge ve Chrome gibi tarayıcıları iyileştirmeye çalışıyor
Kritik Uyarı: Claude Code GitHub Action Açığıyla Repositalar Endişe Altında
California, geri dönüşüm mitleri konusunda Big Plastic’i ele geçirdi
ETİKETLENDİ:
Bu Makaleyi Paylaş
Önceki Makale Google, Ticaret İçin Yapay Zeka Ajanlarıyla Yeni Protokol Duyurdu
Sonraki Makale Yeni Steam Deck Güncellemesi: Call of Duty Oyunlarında Performans Artışı Bekleniyor

Sanal Medya

Son Eklenenler

Gears Of War’ta Devrim Niteliğinde Hareket Yeniliği
Oyun
Acil: Yapay Zeka Destekli Windows Terminal ile Tanışın!
Siber Güvenlik
Elegoo Jupiter 2 Reçineli 3D Yazıcı İncelemesi: Dev Geri Döndü
Donanım
Yeni Spyro Oyunu: A Realm Beyond ile Efsane Yeniden Canlanıyor
Oyun
NASA Ay’a Yüksek Teknoloji Prada Termal Giysileriyle Gidecek
Liste
Çin, Saishiteng Dağı’nı Dünyanın En Büyük Astronomi Üssü Yapıyor!
Bilim