n8n’de Kritik Komut Çalıştırma Açığı: CVE-2026-25049 ve Etkileri

Anasayfa » n8n’de Kritik Komut Çalıştırma Açığı: CVE-2026-25049 ve Etkileri
Bulut Güvenliği, Uzaktan Kod Çalıştırma, Zafiyetler
Şubat 5, 2026Şubat 5, 2026Tarafından Cybernews.TR
0
n8n’de Kritik Komut Çalıştırma Açığı: CVE-2026-25049 ve Etkileri

Saldırının Genel Çerçevesi

n8n platformunda tespit edilen CVE-2026-25049, iş akışı parametrelerinde yetersiz temizleme nedeniyle sistem komutlarının uzaktan çalıştırılmasına imkan tanıyor. Bu açık, Aralık 2025’te yamalanan CVE-2025-68613 zafiyetine yönelik koruma mekanizmalarını atlatabiliyor. Doğrulanmış ve iş akışı oluşturma veya düzenleme yetkisi olan kullanıcılar, kötü amaçlı ifadelerle ana bilgisayarda komut çalıştırabilir hale geliyor.

Açık, 1.123.17 ve 2.5.2 sürümlerinde giderildi. Ancak yamaların uygulanmadığı sistemler, özellikle herkese açık webhook içeren iş akışları nedeniyle yüksek risk altında bulunuyor.

Saldırı Zinciri ve Teknik Detaylar

Bu zafiyetin istismarında saldırganlar, kimlik doğrulaması gerektirmeyen webhook’lar içeren iş akışları oluşturuyor. JavaScript’in destructuring sözdizimi kullanılarak tek satırlık kötü amaçlı kod ekleniyor ve bu kod, sistem düzeyinde komut çalıştırmaya olanak sağlıyor. Böylece, webhook tetiklendiğinde uzaktan komut yürütme gerçekleşiyor.

Teknik olarak sorun, TypeScript’in derleme zamanı tip kontrolü ile JavaScript’in çalışma zamanı davranışı arasındaki uyumsuzluktan kaynaklanıyor. TypeScript, çalışma zamanında saldırgan tarafından oluşturulan zararlı ifadeleri denetleyemiyor ve temizleme mekanizması bu noktada atlanıyor.

Siber Güvenlik Ekipleri İçin Öneriler

  • İş akışı oluşturma ve düzenleme izinlerini yalnızca tam güvenilen kullanıcılarla sınırlandırın.
  • n8n platformunu kısıtlı işletim sistemi ayrıcalıkları ve ağ erişimi ile izole edilmiş ortamlarda çalıştırın.
  • Webhook erişimlerini mümkün olduğunca kimlik doğrulama ile koruyun ve herkese açık webhook kullanımını minimize edin.
  • EDR ve SIEM sistemlerinde, anormal iş akışı oluşturma ve webhook tetikleme aktiviteleri için özel kurallar oluşturun.
  • Yama yönetimini etkin tutarak CVE-2026-25049 ve önceki CVE-2025-68613 yamalarını derhal uygulayın.
  • Çalışma zamanı kontrollerini güçlendirmek için kod incelemelerinde temizleme fonksiyonlarına özel dikkat gösterin.
  • Zero Trust prensipleri doğrultusunda iş akışı ve API erişimlerini segmentlere ayırarak sınırlandırın.
  • Olay müdahale planlarında bu tip uzaktan kod çalıştırma saldırılarına karşı senaryolar geliştirin.

Kurumsal Ortamlarda Olası Senaryolar

Örneğin, bir SaaS sağlayıcısında bu açık, saldırganların bulut ortamına sızmasına, API anahtarlarını ve OAuth belirteçlerini ele geçirmesine yol açabilir. Bu durum, bulut güvenliği ihlallerine ve veri sızıntılarına zemin hazırlar. Ayrıca, fidye yazılımı saldırılarında kullanılan lateral hareket tekniklerine kapı aralayabilir.

Finans kurumları veya kritik altyapılar gibi yüksek güvenlik gerektiren sektörlerde, bu tür zafiyetler ağ segmentasyonu ve güçlü kimlik doğrulama mekanizmaları ile desteklenmezse, ciddi operasyonel riskler doğurabilir.

Teknik Özet

  • Kullanılan zafiyetler: CVE-2026-25049, CVE-2025-68613
  • Saldırı yöntemi: Kötü amaçlı iş akışı parametreleri ile uzaktan komut çalıştırma
  • Hedef kullanıcılar: İş akışı oluşturma/düzenleme yetkisi olan doğrulanmış kullanıcılar
  • Saldırı zinciri: İş akışı oluşturma → Kötü amaçlı JavaScript ifadeleri ekleme → Webhook tetikleme → Sistem komutu yürütme
  • Temel savunma: Güncel yamaların uygulanması, erişim kontrolü, çalışma zamanı güvenlik kontrolleri, webhook kimlik doğrulaması
, , , , , , ,