Главная Новости n8n Уязвимость безопасности в n8n версии 1.65-1.120.4

Уязвимость безопасности в n8n версии 1.65-1.120.4

09.01.2026 Оставьте комментарий
Внимание! Обнаружена критическая уязвимость в n8n (версии 1.65–1.120.4). Обновите до 1.121.0 для безопасности ваших сценариев. Подробности внутри!
Число просмотров: 1

Критическая уязвимость безопасности в n8n

Нам стало известно в ноябре о критической уязвимости безопасности, затрагивающей n8n версии 1.65–1.120.4. Эта проблема была исправлена в n8n версии 1.121.0 и выпущена для всей нашей клиентской базы 18 ноября 2025 года. Мы связываемся с вами, чтобы убедиться, что пользователи с самостоятельным размещением (self‑hosted) обладают всей необходимой информацией для защиты своих инстансов.

Что произошло

Сообщённая уязвимость затрагивает определённые сценарии (workflows), основанные на веб‑формах. Уязвимый сценарий мог предоставить доступ неаутентифицированному удалённому атакующему. Это потенциально могло привести к раскрытию информации, хранящейся в системе, и в зависимости от конфигурации развертывания и использования сценариев — к дальнейшему компромету системы.

Инстанс n8n потенциально уязвим, если в нём есть активный сценарий со следующими условиями: используется триггер Form Submission, принимающий элемент файла, и узел Form Ending, возвращающий двоичный файл. Из-за некорректной проверки входных данных такой сценарий мог, при определённых ограниченных условиях, теоретически быть использован для получения прав на чтение файловой системы сервера. Уязвимый сценарий мог эксплуатироваться атакующим, который имеет доступ к форме, включая неаутентифицированных пользователей.

Потенциальное воздействие

Кто затронут:

  • Самостоятельно размещённые (self‑hosted) инстансы, работающие на версиях 1.65–1.120.4
  • Если вы используете любую версию ветки 2.x (включая любые RC/beta), у вас уже есть это исправление безопасности
  • Облачные (Cloud) инстансы обновляются. Вы также можете запустить обновление из своей Cloud‑панели.

Если эта уязвимость будет эксплуатирована, это может привести к:

  • В определённых конфигурациях — повышению привилегий внутри инстанса n8n
  • Несанкционированному доступу к конфиденциальной информации, хранящейся в вашем инстансе n8n

Обязательные действия

  1. Если вы используете версию 1.65–1.120.4: как можно скорее обновите ваш инстанс n8n до версии 1.121.0 (или более новой). Эта версия содержит необходимые исправления безопасности.
  2. Если вы используете любую версию 2.x (включая RC/beta): никаких действий не требуется — у вас уже есть это исправление безопасности.

Если вы ещё не используете n8n в облаке или хотите изолировать рабочие процессы в отдельной среде, удобным вариантом будет аренда своего сервера с n8n. Это позволит быстро развернуть защищённый инстанс, гибко управлять обновлениями, ресурсами и правами доступа, а также оперативно применять патчи безопасности без сложной ручной конфигурации инфраструктуры.

FAQ

Затронут ли мой инстанс n8n?

Ваш инстанс затронут, если вы используете версию 1.65–1.120.4 и у вас есть активный сценарий, который одновременно содержит:

  • Триггер Form Submission, принимающий элемент файла, и
  • Узел Form Ending, возвращающий двоичный файл

Если вы используете версию 1.121.0 или более позднюю, либо любую версию ветки 2.x, ваш инстанс не затронут. Если вы клиент Cloud, мы обновим и защитим ваш инстанс в течение ближайших 12 часов. Вы также можете самостоятельно запустить обновление из своей Cloud‑панели. Вы можете запустить этот шаблон сценария (workflow template), чтобы просканировать ваш инстанс на наличие потенциально уязвимых сценариев.

Как отслеживать релизы n8n?

Ознакомьтесь с нашими заметками о релизах (release notes) здесь — каждая запись также содержит ссылки на коммиты в GitHub с подробной информацией.

Как отслеживать CVE для n8n?

Мы публикуем наши CVE на GitHub.

Как n8n относится к вопросам безопасности?

Мы занимаем активную позицию в сфере безопасности через нашу программу раскрытия уязвимостей (Vulnerability Disclosure Program). Мы в приоритетном порядке реагируем на сообщения об уязвимостях, а также на проблемы, выявленные нами самостоятельно, и привержены принципам прозрачного раскрытия.

Почему, если проблема была исправлена 18 ноября, о ней сообщается только сейчас?

Мы хотели убедиться, что исправления были выпущены, и предоставить нашим клиентам возможность обновиться в удобное для них время. Мы также стремились снизить риск массовых атак, которые, скорее всего, произошли бы, если бы не было доступных мер по смягчению последствий. Ответственное раскрытие — важная часть нашей работы, и такой подход позволил нам действовать более проактивно, а не реактивно, параллельно реагируя на различные другие отчёты об ошибках, которые мы получили с момента запуска нашей программы раскрытия уязвимостей.

Мы ценим ваше оперативное внимание к этому обновлению безопасности. n8n поддерживает проактивные стандарты безопасности за счёт непрерывного мониторинга, регулярного тестирования на проникновение и программы ответственного раскрытия. Данная публикация является частью нашей приверженности прозрачности.

Полезные ссылки

Наши соц. сети

0 0 голоса
Рейтинг статьи

Вам так же может понравиться

Создайте эффективный конвейер RAG с n8n для привязки ИИ к вашим данным. Упрощайте процесс с минимальным кодом и быстро обновляйте информацию без переобучения.

Практическое руководство по созданию RAG пайплайна в n8n

Улучшите ваш RAG-пайплайн с реранкерами для точного поиска. Обеспечьте более умные и релевантные результаты AI-поиска на основе семантики.

Как внедрить повторные ранжирования в AI-процессы

Обзор лучших AI-агент фреймворков 2025 года: n8n, LangGraph, CrewAI и AutoGen. Узнайте о тенденциях, возможностях интеграций и развитии многоагентных систем.

Лучшие фреймворки для оркестрации AI-агентов

Мы привлекли $180M в раунде серии C, общее финансирование достигло $240M, оценка компании — $2.5B. Раунд возглавил Accel с поддержкой Meritech и других.

n8n привлекает $180 млн для AI-оркестрации

Тестирование n8n показало впечатляющую производительность до 220 запусков в секунду. Оптимизация рабочих процессов и масштабируемость обеспечивают эффективную автоматизацию.

Тестирование масштабируемости n8n для ваших нужд

Об авторе: Admin

Подписаться
Уведомить о

0 комментариев
Старые
Новые Популярные
Межтекстовые Отзывы
Посмотреть все комментарии