Агентство по кибербезопасности и инфраструктурной защите США (CISA) в феврале 2026 года внесло уязвимость CVE-2025-68613 в свой каталог известных эксплуатируемых уязвимостей (KEV). Это первый случай, когда баг платформы автоматизации n8n попал в этот реестр. И попал он туда не теоретически, а потому что его уже используют злоумышленники. При этом свыше 24 700 непропатченных экземпляров n8n остаются доступны из интернета по всему миру.
Сама уязвимость получила оценку 9.9 из 10 по шкале CVSS, что ставит её практически на потолок критичности. По своей природе это инъекция выражений в системе вычисления рабочих процессов n8n — если проще, атакующий может внедрить произвольный код через механизм динамического управления ресурсами. Для эксплуатации нужна аутентификация, то есть атакующему придётся иметь хотя бы минимальный доступ к платформе. Но учитывая, сколько организаций раздают учётные данные без особой осторожности, это ограничение — довольно слабый барьер.
Последствия успешной атаки серьёзные. Злоумышленник получает возможность выполнять произвольный код с привилегиями процесса n8n. Это означает полный захват экземпляра: доступ к чувствительным данным, модификация рабочих процессов, выполнение операций на уровне операционной системы. Для платформы, которая часто связана с десятками других сервисов и хранит API-ключи, токены, пароли — это катастрофический сценарий.
Данные фонда Shadowserver, собранные в начале февраля 2026 года, рисуют тревожную картину. Из более чем 24 700 открытых экземпляров n8n около 12 300 расположены в Северной Америке, ещё порядка 7 800 — в Европе. Остальные разбросаны по другим регионам. И пока нет публичных подробностей о том, как именно уязвимость эксплуатируется «в дикой природе», сам факт внесения в KEV говорит о подтверждённых случаях.
Патч для CVE-2025-68613 был выпущен разработчиками n8n ещё в декабре 2025 года. Исправление доступно в версиях 1.120.4, 1.121.1 и 1.122.0. То есть к моменту, когда CISA забила тревогу, обновление существовало уже около двух месяцев. Две трети квартала прошли, а тысячи экземпляров по-прежнему работают на старых версиях.
CISA действует в рамках обязывающей операционной директивы BOD 22-01, изначально выпущенной в ноябре 2021 года. Эта директива обязывает все федеральные гражданские агентства исполнительной власти (FCEB) устранять уязвимости из каталога KEV в установленные сроки. Для CVE-2025-68613 крайний срок установлен на 25 марта 2026 года. Частные компании директива формально не обязывает, но CISA настоятельно рекомендует всем организациям относиться к записям KEV как к приоритетному руководству к действию.
Проблема не ограничивается одной уязвимостью. Компания Pillar Security недавно раскрыла ещё две критических бреши в n8n, одна из которых — CVE-2026-27577 — тоже получила оценку CVSS около 9 баллов. Подробности по второй уязвимости пока ограничены, но сам факт кластеризации критических багов в одном продукте должен насторожить любого администратора, который развернул n8n и забыл про него.
n8n — популярный инструмент для автоматизации, его часто ставят на виртуальные машины или в контейнеры, подключают к CRM, мессенджерам, базам данных, облачным хранилищам. Один скомпрометированный узел может стать точкой входа в куда более широкую инфраструктуру. И когда на карте мира светятся почти 25 тысяч незащищённых точек — это уже не абстрактная угроза, а конкретный вектор для массовых атак.
Изображение носит иллюстративный характер
Сама уязвимость получила оценку 9.9 из 10 по шкале CVSS, что ставит её практически на потолок критичности. По своей природе это инъекция выражений в системе вычисления рабочих процессов n8n — если проще, атакующий может внедрить произвольный код через механизм динамического управления ресурсами. Для эксплуатации нужна аутентификация, то есть атакующему придётся иметь хотя бы минимальный доступ к платформе. Но учитывая, сколько организаций раздают учётные данные без особой осторожности, это ограничение — довольно слабый барьер.
Последствия успешной атаки серьёзные. Злоумышленник получает возможность выполнять произвольный код с привилегиями процесса n8n. Это означает полный захват экземпляра: доступ к чувствительным данным, модификация рабочих процессов, выполнение операций на уровне операционной системы. Для платформы, которая часто связана с десятками других сервисов и хранит API-ключи, токены, пароли — это катастрофический сценарий.
Данные фонда Shadowserver, собранные в начале февраля 2026 года, рисуют тревожную картину. Из более чем 24 700 открытых экземпляров n8n около 12 300 расположены в Северной Америке, ещё порядка 7 800 — в Европе. Остальные разбросаны по другим регионам. И пока нет публичных подробностей о том, как именно уязвимость эксплуатируется «в дикой природе», сам факт внесения в KEV говорит о подтверждённых случаях.
Патч для CVE-2025-68613 был выпущен разработчиками n8n ещё в декабре 2025 года. Исправление доступно в версиях 1.120.4, 1.121.1 и 1.122.0. То есть к моменту, когда CISA забила тревогу, обновление существовало уже около двух месяцев. Две трети квартала прошли, а тысячи экземпляров по-прежнему работают на старых версиях.
CISA действует в рамках обязывающей операционной директивы BOD 22-01, изначально выпущенной в ноябре 2021 года. Эта директива обязывает все федеральные гражданские агентства исполнительной власти (FCEB) устранять уязвимости из каталога KEV в установленные сроки. Для CVE-2025-68613 крайний срок установлен на 25 марта 2026 года. Частные компании директива формально не обязывает, но CISA настоятельно рекомендует всем организациям относиться к записям KEV как к приоритетному руководству к действию.
Проблема не ограничивается одной уязвимостью. Компания Pillar Security недавно раскрыла ещё две критических бреши в n8n, одна из которых — CVE-2026-27577 — тоже получила оценку CVSS около 9 баллов. Подробности по второй уязвимости пока ограничены, но сам факт кластеризации критических багов в одном продукте должен насторожить любого администратора, который развернул n8n и забыл про него.
n8n — популярный инструмент для автоматизации, его часто ставят на виртуальные машины или в контейнеры, подключают к CRM, мессенджерам, базам данных, облачным хранилищам. Один скомпрометированный узел может стать точкой входа в куда более широкую инфраструктуру. И когда на карте мира светятся почти 25 тысяч незащищённых точек — это уже не абстрактная угроза, а конкретный вектор для массовых атак.
