Ha te is használod az n8n nyílt forráskódú workflow automatizációs eszközt, akkor most nagyon figyelj! Egy friss, maximum súlyosságú biztonsági rés, a Ni8mare névre keresztelt sérülékenység (CVE-2026-21858) lehetővé teszi, hogy távoli, hitelesítés nélküli támadók átvegyék az irányítást a helyileg telepített n8n példányok felett. És ez nem csak egy elméleti veszély: a biztonsági szakértők szerint több mint 100 ezer sebezhető szerver fut jelenleg világszerte.
Mi az az n8n és miért fontos?
Az n8n egy vizuális szerkesztővel rendelkező, nyílt forráskódú workflow automatizációs platform, amely lehetővé teszi különböző alkalmazások, API-k és szolgáltatások összekapcsolását komplex munkafolyamatokká. Nem véletlenül népszerű: hetente több mint 50 ezer letöltést produkál az npm-en, és a Docker Hubon is több mint 100 millió alkalommal húzták le a konténereit.
Különösen az AI térben vált kedvenccé, ahol nagy nyelvi modellek (LLM-ek) hívásait szervezik vele, AI ügynököket építenek, RAG pipeline-okat állítanak össze, vagy épp adatbevitelt és -kinyerést automatizálnak. Szóval nem valami aprócska niche eszközről beszélünk, hanem egy kulcsfontosságú infrastruktúráról.
A Ni8mare sebezhetőség részletei
A Ni8mare lényege, hogy egy támadó képes hozzáférni a szerveren tárolt fájlokhoz úgy, hogy bizonyos form alapú munkafolyamatokat futtat le. Ez azért durva, mert a támadó ehhez nem kell hogy be legyen jelentkezve vagy bármilyen jogosultsággal rendelkezzen.
“Egy sebezhető workflow lehetőséget ad arra, hogy egy hitelesítés nélküli távoli támadó hozzáférjen érzékeny információkhoz a rendszeren belül. Ez további kompromittálódáshoz vezethet attól függően, hogyan van beállítva a telepítés és milyen munkafolyamatokat használnak.” – mondják az n8n fejlesztői.
Hogyan működik a támadás?
A Cyera biztonsági cég kutatói fedezték fel ezt a hibát még 2025 novemberében. A probléma gyökere egy tartalomtípus-keveredésben rejlik abban, ahogy az n8n feldolgozza a bejövő adatokat.
Az n8n webhook komponense kétféle módon dolgozza fel a bejövő kéréseket attól függően, hogy milyen ‘content-type’ fejlécet kap:
- multipart/form-data: Ilyenkor fájlfeltöltésként kezeli az adatot és speciális feltöltés-elemzőt használ, ami véletlenszerűen generált ideiglenes helyekre menti a fájlokat. Ez megakadályozza az ún. path traversal támadásokat.
- Egyéb tartalomtípusok: Itt viszont egy standard elemző fut le, ami nem ellenőrzi megfelelően, hogy valóban fájlfeltöltésről van-e szó.
A Cyera kutatói rájöttek, hogy ha egy támadó például application/json tartalomtípust állít be, akkor megkerülheti az upload parser védelmét. Így ugyanúgy feldolgozza a fájlmezőket az n8n, de nem ellenőrzi a tényleges fájlfeltöltést – ezzel pedig teljes kontrollt szerezhet a fájl metaadatai felett, például megadhatja a fájl elérési útját.
A hibás elemző logikája
A Cyera szakértői így magyarázzák:
“Mivel ez a funkció anélkül hívódik meg, hogy ellenőriznék a tartalomtípust multipart/form-data-ra, mi irányítjuk teljes egészében a req.body.files objektumot. Ez azt jelenti, hogy mi szabályozzuk a filepath paramétert – így nem csak feltöltött fájlokat másolhatunk át, hanem bármilyen helyi fájlt kiolvashatunk.”
Ezzel gyakorlatilag tetszőleges fájlok olvashatóvá válnak egy n8n példányon belül – ami katasztrofális következményekkel járhat. Például titkos kulcsok vagy jelszavak kerülhetnek ki így.
Mire használható még ez a sebezhetőség?
A Cyera szerint ezt a rést kihasználva akár titkos adatokat lehet kiszivárogtatni (API kulcsok, OAuth tokenek), érzékeny fájlokat lehet injektálni munkafolyamatokba vagy akár session cookie-kat hamisítani az autentikáció megkerülésére. Sőt, bizonyos konfigurációk mellett akár tetszőleges parancsok futtatására is lehetőség nyílhat.
Adatbázis elérése és további veszélyek
A Ni8mare segítségével például hozzáférhetünk az n8n által használt adatbázishoz is – ami azt jelenti, hogy minden ott tárolt üzleti adat vagy titkos információ veszélybe kerülhet.
Milyen adatok vannak veszélyben?
Az n8n gyakran tárol API kulcsokat, OAuth tokeneket, adatbázis-hitelesítőket, felhőszolgáltatásokhoz való hozzáféréseket és CI/CD titkokat is – ezek mind kritikus fontosságúak egy vállalat automatizációs központjában. Ha ezek kiszivárognak vagy manipulálódnak, az komoly károkat okozhat.
Mire számíthatsz most? Hogyan védekezz?
Sajnos jelenleg nincs hivatalos workaround erre a hibára – legalábbis az n8n fejlesztői szerint. Az egyik javasolt ideiglenes megoldás azonban az érintett webhook és form végpontok korlátozása vagy letiltása azok számára, akik publikus interneten keresztül elérik őket.
A legfontosabb lépés: minél előbb frissítsd az n8n-t legalább az 1.121.0-s verzióra vagy annál újabbra! Ez már tartalmazza a Ni8mare elleni javítást.
További tippek biztonságos AI-fejlesztéshez
Akár régi kulcsokat takarítasz ki vagy épp AI által generált kódot akarsz biztonságosan kezelni – érdemes már most bevezetni olyan szabályokat és eszközöket, amelyek segítenek megelőzni hasonló incidenseket. Egy jól összeállított titkos-kezelési cheat sheet sok fejfájástól mentheti meg a csapatodat.
Töltsd le most ezt az útmutatót, és szabadulj meg végre a találgatásoktól!
Összegzés
A Ni8mare (CVE-2026-21858) egy olyan kritikus sebezhetőség az n8n-ben, amely komoly veszélyt jelent mindenkit érintően. Ha te is használod ezt az eszközt automatizációra vagy AI integrációkra, ne halogasd a frissítést! A támadók könnyedén kihasználhatják ezt a hibát arra, hogy érzékeny adatokhoz férjenek hozzá vagy akár átvegyék az irányítást rendszereid felett.
Egyetlen kattintásnyi frissítés választ el attól, hogy ne kerülj bajba – szóval ne várj tovább!
