Siber güvenlik araştırmacıları, popüler iş akışı otomasyon platformu n8n’de, kimliği doğrulanmamış saldırganların savunmasız sistemleri tamamen tehlikeye atmasına olanak verebilecek yeni bir kritik kusuru ortaya çıkardı. CVE-2026-21858 olarak takip edilen ve maksimum CVSS puanı 10,0 olan sorun, bugüne kadar bildirilen en ciddi n8n güvenlik açıklarından biri olarak tanımlanıyor.
N8n’deki güvenlik açığı, 9 Kasım 2025’te güvenlik araştırmacısı Dor Attias tarafından keşfedildi ve sorumlu bir şekilde açıklandı. n8n daha sonra, saldırganların temel sunucudaki dosyalara belirli form tabanlı iş akışları aracılığıyla erişebileceği konusunda uyarıda bulunarak bir güvenlik danışma belgesinde sorunu doğruladı.
n8n’e göre, “n8n’deki bir güvenlik açığı, bir saldırganın belirli form tabanlı iş akışlarının yürütülmesi yoluyla temel sunucudaki dosyalara erişmesine olanak tanır. Güvenlik açığı bulunan bir iş akışı, kimliği doğrulanmamış uzaktaki bir saldırgana erişim izni verebilir.” Şirket, kusurun hassas verileri açığa çıkarabileceğini ve yapılandırma ve kullanıma bağlı olarak potansiyel olarak daha fazla riske yol açabileceğini belirtti.
CVE-2026-21858, n8n webhook’un gelen HTTP isteklerini nasıl işlediğiyle bağlantılı bir İçerik Türü karışıklık hatasıdır. Web kancası, Content-Type başlığına göre istekleri farklı şekilde ayrıştırarak saldırganların dosya işleme davranışını değiştirmek için kullanabileceği bir boşluk yaratır.
n8n Webhook İçerik Türü Karışıklığından Nasıl Yararlanılıyor?
Güvenlik açığı, n8n’nin form gönderimlerini işleme biçiminden kaynaklanıyor. Bir istek işlendiğinde platform şunları kullanır: parseRequestBody() bir dosya yükleme ayrıştırıcısının mı yoksa normal bir gövde ayrıştırıcısının mı çağrılacağını belirlemek için. Eğer çok parçalı/form-veri belirtildiğinde, yüklenen dosyalar ayrıştırılır ve istek.body.files.
Ancak araştırmacılar, belirli dosya işleme işlevlerinin İçerik Türü başlığını doğrulamadan yürütüldüğünü buldu. Sonuç olarak saldırganlar geçersiz kılabilir istek.body.files hiçbir dosya yüklemesi mevcut olmasa bile.
Attias, “Bu işlev içerik türünün ‘multipart/form-data’ olduğunu doğrulamadan çağrıldığından req.body.files nesnesinin tamamını kontrol ediyoruz” diye açıkladı. Bu, saldırganın yüklenen bir dosya yerine sunucudan herhangi bir yerel dosyayı kopyalamasına olanak tanıyarak hassas sistem verilerini aşağı akışlı iş akışı düğümlerine ifşa eder.
n8n Güvenlik Açığı Yönetici Atlamasına ve Uzaktan Kod Yürütülmesine Olanak Sağlıyor
CVE-2026-21858’in etkisi, rastgele dosya okumalarının ötesine uzanır. Araştırmacılar, saldırganların kusuru nasıl tam sistem uzlaşmasına dönüştürebileceğini gösterdi. Bir tehdit aktörü, n8n güvenlik açığını kötüye kullanarak dahili SQLite veritabanını şu adreste okuyabilir: /home/node/.n8n/database.sqliteyönetici kimlik bilgilerini çıkarın ve ardından şifreleme sırlarını şuradan alın: /home/node/.n8n/config.
Saldırganlar bu bilgileri kullanarak geçerli bir yönetici oturumu çerezi oluşturabilir, kimlik doğrulamayı atlayabilir ve tam yönetim erişimi elde edebilir. Buradan, “Komutu Yürüt” düğümünü içeren kötü amaçlı bir iş akışı oluşturarak ana sistemde uzaktan kod yürütmeyi gerçekleştirebilirler.
Cyera, n8n’nin merkezi yapısının riski önemli ölçüde artırdığı konusunda uyardı. Şirket, depolanan API kimlik bilgilerini, OAuth belirteçlerini ve veritabanı bağlantılarını yüksek değerli hedefler olarak göstererek, “Güvenliği ihlal edilmiş bir n8n örneği yalnızca bir sistemi kaybetmek anlamına gelmez; saldırganlara her şeyin anahtarını vermek anlamına gelir” dedi.
CVE-2026-21858 için Yama Durumu ve Azaltıcı Önlemler
N8n güvenlik açığı, 1.65.0’a kadar (1.65.0 dahil) tüm sürümleri etkiliyor ve 18 Kasım 2025’te yayımlanan 1.121.0 sürümünde yamalandı. Kullanıcıların 1.123.10, 2.1.5, 2.2.4 veya 2.3.0 sürümleri gibi sabit veya daha yeni bir sürüme yükseltmeleri önemle tavsiye edilir.
Ek önlemler olarak yöneticilere, n8n örneklerini internete maruz bırakmaktan kaçınmaları, tüm Formlar için kimlik doğrulamalarını zorunlu kılmaları ve yamalar uygulanana kadar herkesin erişebildiği n8n web kancasını ve form uç noktalarını kısıtlamaları veya devre dışı bırakmaları tavsiye edilir.
CVE-2026-21858’in açıklanması, CVE-2025-68668 ve CVE-2025-68613 de dahil olmak üzere n8n’deki diğer birkaç kritik sorunun ardından geliyor ve hassas entegrasyonları ve kimlik bilgilerini yöneten otomasyon platformları etrafında sıkı güvenlik kontrollerine olan ihtiyacın altını çiziyor.