Критическая уязвимость RCE в n8n активно эксплуатируется, более 24 000 экземпляров остаются без заплаток
Агентство США по кибербезопасности и инфраструктуре (CISA) ужесточило предупреждение о критической уязвимости в популярной платформе автоматизации рабочих процессов n8n. Дефект, зарегистрированный как CVE-2025-68613 с почти максимальным баллом CVSS 9.9, был внесен в каталог активно эксплуатируемых уязвимостей (KEV) CISA из-за подтвержденной активной эксплуатации в реальных условиях. Это первое попадание уязвимости n8n в данный список высокой приоритетности, что сигнализирует о срочной и масштабной угрозе. Уязвимость представляет собой инъекцию выражений в систему оценки выражений рабочих процессов n8n, что позволяет аутентифицированному злоумышленнику выполнить удаленный код (RCE) с привилегиями базового процесса n8n.
Эксплуатация этой уязвимости предоставляет злоумышленнику полный контроль над затронутым экземпляром n8n. Такой уровень доступа является катастрофическим: угрозы позволяют похищать конфиденциальные данные, обрабатываемые автоматизированными рабочими процессами, тайно изменять или саботировать бизнес-логику, а также выполнять произвольные команды на уровне системы на хосте. Разработчики n8n выпустили заплатки для этой критической проблемы в декабре 2025 года для версий 1.120.4, 1.121.1 и 1.122.0.
Несмотря на доступность исправлений, телеметрия от Shadowserver Foundation рисует тревожную картину: по состоянию на начало февраля 2026 года более 24 700 интернет-экспонированных экземпляров n8n остаются незапатченными и уязвимыми. Географически на Северную Америку приходится наибольшая доля таких систем (свыше 12 300), за ней следует Европа (примерно 7 800).
Срочность ситуации дополнительно подчеркивается смежным раскрытием от Pillar Security. Исследователи идентифицировали еще две критические уязвимости в n8n, одна из которых — CVE-2026-27577 с баллом CVSS 9.4 — описывается как связанная с «дополнительными векторами эксплуатации», обнаруженными в той же системе оценки выражений, что была скомпрометирована CVE-2025-68613. Это позволяет предположить, что первоначальная заплатка могла не полностью устранить базовую архитектурную слабость.
В ответ на активные угрозы CISA предписала всем федеральным гражданским агентствам исполнительной власти (FCEB) применить необходимые исправления к своим развертываниям n8n до 25 марта 2026 года в соответствии с Обязательным оперативным директивным указанием (BOD) 22-01. Широкое распространение незащищенных экземпляров n8n в сочетании с тяжелыми последствиями эксплуатации создает идеальную среду для масштабных кибератак.
