Содержимое
Сошлось На платформе автоматизации n8n найдеры три критические уязвимости с максимальными баллами CVSS 10.0 и 9.9, которые позволяют аутентифицированным пользователям выполнить произвольный код на сервере. Первая проблема даёт любому авторизованному юзеру шанс запустить что угодно на хосте и получить полный контроль над инстансом вместе со всеми подключёнными системами. Вторая работает через загрузку файлов и бьёт как по self-hosted, так и по облачным версиям. Третья дыра обходит песочницу в Python Code Node, также позволяя выполнять произвольный код. Её исправление вышло в начале декабря прошлого года. n8n выкатила экстренные патчи для всех уязвимостей. Администраторам инстансов стоит обновиться немедленно, потому что эксплуатация даёт полный доступ к серверу и всей связанной инфраструктуре. НеКасперский