N8n kodsuz otomasyon çözümü oldukça popülerdir çünkü programlamaya yeni başlayanların bile grafiksel bir araçla karmaşık süreçler kurmasına, API istekleri yapmasına ve LLM'yi otomatik olarak kullanmasına olanak tanır. Ancak şu anda biri maksimum 10 puana kadar çıkan dört kritik güvenlik açığı sistem yöneticilerinin araçtan faydalanmasına engel oluyor. Uzmanlar aradaki farkın ne kadar kritik olduğu konusunda hemfikir değiller.
Duyurudan sonra devamını okuyun
Güvenlik açıkları, kulağa olabildiğince korkutucu gelen akılda kalıcı adlarla ortaya çıktığında, etkilenen okuyucu genellikle “Ni8mare” örneğinde olduğu gibi iyi bir şeyden şüphelenmez. Güvenlik firması Cyera, kusuru CVE ID CVE-2026-21858 ile adlandırdı ve maksimum CVSS puanı 10 ile birlikte kritik olarak sınıflandırdı. n8n tarafından oluşturulan bir web formuna web'den erişilebildiği anda, saldırganlar n8n sunucusundaki herhangi bir dosyayı okuyabilir.
Ancak Horizon3.ai tarafından yapılan güvenlik açığına ilişkin yeni bir analiz, riski bir perspektife oturtuyor: Güvenlik açığı gerçekte var olmasına ve uzaktan istismar edilebilmesine rağmen, şirketin müşterilerinden hiçbiri tarafından karşılanmayan çeşitli önkoşullar var. Elde edilen verileri dışarı çıkarmanın genellikle bir yolu yoktur. Yöneticiler n8n örneklerine yama uygulamalıdır ancak panik yapmak uygunsuzdur.
PoC ile ve PoC olmadan boşluk karışıklığı
“Ni8mare”ye ek olarak, Noel döneminde zaten yayınlanmış olan ve planlanmadan kayıtlı kullanıcıların n8n ana bilgisayar sisteminde Python kodunu çalıştırmasına izin veren bir güvenlik açığı olan “N8scape” (CVE-2025-68668, CVSS 9.9, kritik) de bulunmaktadır. Ancak iş akışlarını oluşturmak veya değiştirmek için yeterli izne sahip olmaları gerekir. CVE-2027-21877 (CVSS 9.9, kritik) ayrıca plansız kod yürütülmesine de neden olur.
Bununla birlikte, mevcut en büyük tehdit, hiç kritik olarak tanımlanmayan bir güvenlik açığından kaynaklanmaktadır: CVE-2025-68613, CVSS puanı 8,8 olan “yalnızca” “yüksek” bir tehdidi temsil eder, ancak “Kavram Kanıtı” (PoC) istismarının gösterdiği gibi “Ni8mare” ile bağlantılı olabilir. Bunu güvenlik açığı bulunan bir n8n örneğinde kullanırsanız, yalnızca ana bilgisayar sistemindeki dosyaları okumakla kalmaz, aynı zamanda tüm sistem komutlarını da yürütebilirsiniz (Uzaktan Kod Yürütme, RCE). Horizon3.ai'nin küçümseyen analizi yalnızca “Ni8mare” için doğru olabilir, ancak ek bir güvenlik açığıyla birleştirildiğinde yanıltıcı olduğu ortaya çıkıyor.
Var? Çok kolaydı! Bu istismar, burada Docker kapsayıcısında gösterilen n8n'deki iki kod yürütme güvenlik açığını birbirine bağlar.
2.0.0'a yükseltme önerilir
Duyurudan sonra devamını okuyun
Sistemlerinde n8n'yi örneğin Docker kapsayıcısı olarak kullananlar, derhal 2.0.0 sürümüne yükseltmeyi düşünmelidir. 1.x ağaç sürümlerinde bazı kritik güvenlik açıkları da düzeltilmiş olsa da ürün desteği yakında sona erecek: 15 Mart 2026'da, yani n8n 2.0.0'ın yayımlanmasından üç ay sonra.
GitHub'daki güvenlik açıklarına genel bakış, dört kritik güvenlik açığına ek olarak son günlerde ve haftalarda giderilen diğer güvenlik sorunlarını da içeriyor.
n8n, bir Alman start-up'ının başarı öyküsüdür. Proje, yakın zamanda 2025'te 112.400 GitHub yıldızı artışıyla en popüler JavaScript projesinin “Yükselen Yıldızlar” ödülünü kazandı. Arkasındaki n8n GmbH, dokuz haneli bir mali enjeksiyonun ardından 2,5 milyar ABD doları değerlemeyle “tek boynuzlu at” olarak kabul ediliyor.
(cku)
Bir yanıt yazın