Giriş
n8n, otomasyon platformu olarak kritik bir güvenlik açığı ile gündeme geldi. Bu sorun, kullanıcıların yanlış hesaplar üzerinden giriş yapmalarına neden olabiliyor ve hızlı bir çözüm gerektiriyor.
Saldırı Nasıl Çalışıyor?
n8n, yalnızca sub talebine dayanarak gelen bir JWT’yi yerel bir kullanıcıyla eşleştiriyor ve iss değerini göz ardı ediyor. Bu durum, geçerli bir token‘ın başka bir kullanıcıya ait sub değerini taşıdığında o kullanıcı olarak giriş yapılmasına yol açar. Örneğin, bir token A’dan gelirken, sub değeri başka bir token B’ye ait bir kullanıcıyı temsil edebilir.
Hatta n8n, bu açığı CVE-2026-59208 kodu ile tanımladı ve ilgili düzeltmeyi 24 Haziran’da yayınladı. Açık, yalnızca token değişimi açık olan ve en az iki harici token vericisinde güven sağlayan Enterprise sistemlerini etkiliyor.
Etkilenen Sistemler
– CVE-2026-59208, n8n’in 2.27.4 ve 2.28.0 sürümleri dahil olmak üzere, tüm sürümlerini etkiliyor.
– Düzeltme 2.27.4 ve 2.28.1 sürümlerinde yer alıyor.
– N8N_TOKEN_EXCHANGE_TRUSTED_KEYS ortam değişkenini içeren sistemler için risk taşımaktadır.
Çözüm ve Korunma
Güvenlik açığını gidermek için aşağıdaki adımları izleyin:
- En son sürüme güncelleyin: 2.27.4 veya 2.28.1 veya daha üstü.
- Eğer güncelleme mümkün değilse, sadece bir güvenilir vericiye geri dönün veya token değişimini devre dışı bırakın.
- Sisteminizde
N8N_TOKEN_EXCHANGE_TRUSTED_KEYSortam değişkenini kontrol edin ve mevcut güvenilir anahtarları gözden geçirin.
Güvenlik açığına dair kısa vadeli önlemler almanız önerilmektedir, fakat bu önlemler riski tamamen ortadan kaldırmaz.
Sonuç
Siz de n8n sisteminizin güncel olup olmadığını kontrol edin ve gerekirse yazılımınızı derhal güncelleyin. Token değişimini kullanmayı bırakmayı veya yalnızca tek bir güvenilir verici üzerinde çalışmayı düşünün. Bu adımlar, potansiyel kötüye kullanımlara karşı sisteminizi korumanıza yardımcı olacaktır.


