- Cacat baru di n8n (CVE-2026-25049) memungkinkan pengguna yang tidak diautentikasi menjalankan perintah sewenang-wenang di server
- Kerentanan berisiko terhadap pencurian rahasia (kunci API, token OAuth) dan paparan data lintas penyewa
- Patch dirilis di v2.4.0; PoC sudah bersifat publik, sehingga pembaruan segera menjadi penting meskipun ada solusi sementara
Kerentanan kritis telah ditemukan di n8n yang memungkinkan pelaku ancaman menjalankan perintah sewenang-wenang pada komputer yang mendasarinya.
Pada paruh kedua bulan Desember 2025, pengembang n8n merilis CVE-2025-68613, sebuah patch untuk kerentanan kritis Eksekusi Kode Jarak Jauh (RCE) dalam sistem evaluasi ekspresi alur kerja. Kini, para peneliti keamanan mengatakan bahwa patch tersebut tidak memadai dan meninggalkan lubang yang dapat dieksploitasi.
Lubang-lubang ini menghasilkan hasil yang sama – keluar dari platform otomatisasi alur kerja dan mengambil alih server yang mendasarinya.
Bukti Konsep dirilis
Cacat baru ini sekarang dilacak sebagai CVE-2026-25049. Tampaknya, setiap pengguna yang tidak diautentikasi yang dapat membuat atau mengedit alur kerja di platform juga dapat melakukan RCE di platform tersebut server n8n. Beberapa peneliti mengatakan bahwa bug tersebut dapat digunakan untuk mencuri semua rahasia yang tersimpan di server, seperti kunci API, atau token OAuth. Selain itu, file konfigurasi sensitif juga berisiko.
Lebih buruk lagi, pelaku ancaman dapat berpindah dari satu penyewa ke penyewa lainnya, mencuri data dari beberapa organisasi yang berbagi lingkungan yang sama.
“Serangan itu tidak memerlukan hal khusus. Jika Anda dapat membuat alur kerja, Anda dapat memiliki servernya,” kata Pillar Security dalam sebuah laporan.
Pada tanggal 30 Desember, pengembang n8n mengakui kecelakaan tersebut dan merilis versi 2.4.0 dua minggu kemudian. Jika Anda aktif menggunakan n8n, disarankan untuk menerapkan patch sesegera mungkin, terutama karena Proof-of-Concept (PoC) sudah dirilis.
BleepingComputer catatan peneliti dari Endor Labs-lah yang menerbitkan PoC.
“Di semua versi sebelum 2.5.2 dan 1.123.17, fungsi sanitasi mengasumsikan kunci dalam akses properti adalah string dalam kode yang dikendalikan penyerang,” jelas Endor Labs.
Mereka yang tidak dapat menerapkan patch saat ini dapat menerapkan solusi, yang mencakup membatasi pembuatan alur kerja dan izin pengeditan hanya untuk pengguna yang sepenuhnya tepercaya dan menerapkan n8n di lingkungan yang lebih tangguh dengan hak istimewa OS dan akses jaringan yang terbatas.
Namun, pengembang memperingatkan bahwa ini hanya dapat dianggap sebagai solusi sementara dan patching masih merupakan cara terbaik untuk memperbaiki masalah tersebut.
Pada saat berita ini dimuat, tidak ada laporan kasus pelecehan di alam liar.
Antivirus terbaik untuk semua anggaran
Ikuti TechRadar di Google Berita Dan tambahkan kami sebagai sumber pilihan untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol Ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok untuk berita, review, unboxing dalam bentuk video, dan dapatkan update rutin dari kami Ada apa juga.
