Kritická chyba v n8n umožňuje útok bez přihlášení. Oprava už existuje
V závislosti na konkrétním nasazení může útočník získat přístup k souborům na serveru, čímž se otevírá prostor pro další kompromitaci systému.
Co se stalo
V open-source automatizační platformě n8n byla odhalena kritická zranitelnost s maximálním hodnocením CVSS 10,0, označená jako CVE-2026-21858. Chyba může umožnit vzdálený útok bez nutnosti autentizace, a to zejména u určitých form-based workflow a webhooků.
V závislosti na konkrétním nasazení může útočník získat přístup k souborům na serveru, čímž se otevírá prostor pro další kompromitaci systému.
Proč je to důležité
n8n je v praxi často nasazován jako centrální nástroj pro automatizaci. Propojuje interní systémy, cloudové služby, databáze nebo API a běžně pracuje s citlivými údaji – například přístupovými tokeny, autentizačními klíči nebo databázovými přihlašovacími údaji.
I relativně omezený přístup k souborům tak může představovat závažné bezpečnostní riziko, protože umožňuje navazující útoky proti dalším částem infrastruktury.
Koho se problém týká
Zranitelnost se týká verzí n8n nižších než 1.121.0. Podle bezpečnostní společnosti Cyera, která chybu objevila, může být na internetu vystaveno riziku řádově až kolem 100 000 instancí. Jde však o odhad výzkumníků, nikoli o oficiálně potvrzený počet.
Jak útok funguje (zjednodušeně)
Podstata problému spočívá ve způsobu, jakým n8n zpracovává data přijatá přes webhooky a formuláře. Útočník může zaslat speciálně upravený požadavek, se kterým systém začne zacházet, jako by pracoval se soubory – i když k žádnému skutečnému nahrání souboru nedošlo.
Důsledkem může být čtení libovolných souborů na serveru a v některých scénářích i další kompromitace celé instance, v závislosti na konfiguraci workflow a integrací.
Existuje řešení
Dobrou zprávou je, že oprava už je k dispozici. Zranitelnost je opravena ve verzi n8n 1.121.0 a novějších.
Vývojáři zároveň upozorňují, že neexistuje oficiální plnohodnotný workaround. Jako dočasné opatření doporučují omezit nebo vypnout veřejně dostupné webhooky a formulářové endpointy do doby, než bude aktualizace nasazena.
Shrnutí
Zranitelnost CVE-2026-21858 ukazuje, jak rizikové mohou být chyby v nástrojích, které stojí v centru automatizace a práce s daty. Pokud n8n používáte, odklad aktualizace výrazně zvyšuje riziko kompromitace – a to nejen samotné platformy, ale i systémů, které na ni navazují.