Eğer şirketiniz n8n'i günlük görevleri yönetmek için kullanıyorsa, versiyon numaranızı kontrol etme zamanı geldi. Platformda büyük bir güvenlik açığı bulundu ve bu durum oldukça ciddi. Upwind firması, bu soruna dair bir analiz yayınladı; bu, kritik bir kimlik doğrulamalı uzak kod yürütme açığıdır.
Basit bir ifadeyle, bu, bir hacker içeri girdiğinde tüm sistemi ele geçirebileceği anlamına geliyor. Bilginiz olsun, n8n, farklı uygulamalar ve veritabanlarını bağlayan bir yapıştırıcıdır. Tüm bu verilerin ortasında yer aldığından, burada bir güvenlik açığı olması büyük bir sorun.
Ne yanlış gitti?
Bu açık resmi olarak CVE-2026-21877 olarak adlandırılmakta ve 10.0 şiddet puanına sahip, bu da mümkün olan en yüksek tehlike derecesidir. Teknik açıdan bakıldığında, bu, keyfi dosya yazma koşuluna dayanıyor. Yazılım, birinin izin verilmemiş bir yere dosya kaydetmesine izin veriyor. Araştırmacılara göre, bu durum, sistemin güvenilmeyen girdileri işleme almadan önce düzgün bir şekilde kontrol etmemesinden kaynaklanıyor.
Hatanın keşfeden güvenlik araştırmacısı Théo Lelasseux, bu durumu gerçekleştirmek için bir kişinin geçerli bir giriş bilgisine ihtiyaç duyduğunu, ancak içeri girdikten sonra, n8n hizmeti tarafından güvenilmeyen kodun yürütülmesine neden olabileceğini belirtti. Bildiğimiz kadarıyla, bu sistemler iç sistemlere, kimlik bilgilerine ve hassas verilere erişim sağlayabilir, bu nedenle bir saldırgan çok hızlı bir şekilde büyük zararlar verebilir.
Güvende kalmak için ne yapmalısınız?
Bu açığa dair araştırma, Hackread.com ile paylaşıldı. Görünüşe göre, çok sayıda versiyon risk altında; özellikle 0.123.0 ile 1.121.3 arasındaki sürümler etkileniyor. Yazılımı kendi ofis sunucularınızda mı yoksa yönetilen bir bulut versiyonunda mı çalıştırdığınız önemli değil; muhtemelen etkileniyorsunuz.
Çözüm basit ama acil; güvenlik açığını tamamen kapatmak için hemen 1.121.3 veya daha yüksek bir sürüme güncellemeniz gerekiyor. Henüz bu açığı kullanan hackerların raporları yok, ancak bunu öğrenmek için beklememelisiniz. Güncellemenin yanı sıra, uzmanlar Git düğmesini devre dışı bırakmayı ve yalnızca en üst düzey yöneticilerinizin iş akışlarınızı değiştirme yetkisine sahip olduğundan emin olmanızı öneriyor.
