Kerentanan Kritis n8n Picu Eksekusi Kode Jarak Jauh dan Bocornya Kredensial
Kerentanan kritis pada platform otomasi workflow n8n baru-baru ini terungkap dan telah diperbaiki, namun meninggalkan risiko serius bagi pengguna yang belum melakukan pembaruan. Dua celah keamanan utama dengan skor CVSS masing-masing 9,4 dan 9,5 memungkinkan pelaku kejahatan siber menjalankan perintah berbahaya secara jarak jauh dan mengakses kredensial sensitif yang tersimpan dalam sistem.
Detail Kerentanan Kritis di n8n
Peneliti keamanan dari Pillar Security mengungkap dua kerentanan utama yang ditemukan pada platform n8n, yaitu:
- CVE-2026-27577 (CVSS 9.4): Celah sandbox expression yang memungkinkan pelarian sandbox dan eksekusi kode jarak jauh (RCE) bagi pengguna yang sudah terautentikasi.
- CVE-2026-27493 (CVSS 9.5): Evaluasi ekspresi tanpa autentikasi lewat node Form di n8n yang bersifat publik, memungkinkan injeksi ekspresi berbahaya.
Menurut laporan resmi dari Eilon Cohen, peneliti yang menemukan celah ini, "CVE-2026-27577 merupakan pelarian sandbox pada compiler ekspresi di mana ada kasus yang terlewat dalam penulisan ulang AST sehingga proses dapat berjalan tanpa transformasi, memberikan akses eksekusi kode penuh kepada ekspresi yang sudah diautentikasi."
Sementara itu, CVE-2026-27493 disebut sebagai "bug evaluasi ganda" pada node Form yang secara default bersifat publik dan tidak memerlukan autentikasi. Hal ini memungkinkan pelaku memanfaatkan formulir publik, seperti 'Contact Us', untuk menjalankan perintah shell berbahaya hanya dengan memasukkan payload pada kolom Nama.
Risiko dan Dampak Kerentanan
Dalam advisori resmi yang dirilis akhir bulan lalu, n8n mengingatkan bahwa pengguna yang memiliki hak membuat atau mengubah workflow dapat memanfaatkan CVE-2026-27577 untuk mengeksekusi perintah sistem yang tidak diinginkan melalui ekspresi berbahaya.
Lebih jauh, gabungan antara CVE-2026-27493 dan CVE-2026-27577 dapat menyebabkan eskalasi menjadi eksekusi kode jarak jauh penuh pada host n8n. Kerentanan ini berdampak pada berbagai versi n8n self-hosted dan cloud, antara lain:
- Versi < 1.123.22
- Versi ≥ 2.0.0 dan < 2.9.3
- Versi ≥ 2.10.0 dan < 2.10.1
Versi terbaru 2.10.1, 2.9.3, dan 1.123.22 telah memperbaiki masalah ini.
Jika Anda belum dapat segera melakukan patch, disarankan untuk membatasi hak pembuatan dan pengeditan workflow hanya kepada pengguna terpercaya serta menjalankan n8n dalam lingkungan yang telah diperkuat dengan pembatasan hak sistem operasi dan akses jaringan.
Langkah Mitigasi untuk Kerentanan Form Node
Untuk CVE-2026-27493, n8n merekomendasikan beberapa mitigasi sementara:
- Melakukan review manual terhadap penggunaan node Form untuk memastikan tidak ada kondisi berisiko.
- Menonaktifkan node Form dengan menambahkan
n8n-nodes-base.formke variabel lingkunganNODES_EXCLUDE. - Menonaktifkan node Form Trigger dengan menambahkan
n8n-nodes-base.formTriggerkeNODES_EXCLUDE.
Namun, pengembang menegaskan bahwa solusi ini hanya bersifat temporer dan tidak sepenuhnya menghilangkan risiko.
Kerentanan Tambahan Berpotensi Eksekusi Kode
Selain dua celah utama tersebut, versi terbaru n8n juga memperbaiki dua kerentanan kritis lain:
- CVE-2026-27495 (CVSS 9.4): Eksekusi kode arbitrer di luar sandbox JavaScript Task Runner oleh pengguna autentikasi yang memiliki hak mengubah workflow.
- CVE-2026-27497 (CVSS 9.4): Eksploitasi mode SQL query pada node Merge yang memungkinkan eksekusi kode dan penulisan file sembarangan di server n8n.
Mitigasi yang disarankan untuk kedua celah ini adalah:
- CVE-2026-27495: Mengaktifkan mode runner eksternal dengan variabel
N8N_RUNNERS_MODE=externaluntuk mempersempit dampak serangan. - CVE-2026-27497: Menonaktifkan node Merge dengan menambahkan
n8n-nodes-base.mergeke variabelNODES_EXCLUDE.
Potensi Eksploitasi dan Pentingnya Pembaruan
Pillar Security memperingatkan bahwa pelaku dapat mengeksploitasi celah ini untuk membaca variabel lingkungan N8N_ENCRYPTION_KEY, yang memungkinkan mereka mendekripsi semua kredensial tersimpan di database n8n, termasuk kunci AWS, password basis data, token OAuth, dan API key lainnya.
Sampai saat ini, belum ada laporan eksploitasi aktif di lapangan, namun pengguna n8n sangat dianjurkan untuk segera memperbarui ke versi terbaru guna menghindari risiko keamanan serius.
Analisis Redaksi
Menurut pandangan redaksi, terungkapnya celah kritis ini menunjukkan betapa kompleks dan rawannya platform otomasi workflow modern terhadap serangan siber, terutama yang mengandalkan ekspresi dinamis dan endpoint publik. Kerentanan yang memungkinkan eksekusi kode jarak jauh dan pembocoran kredensial dapat berdampak sangat luas di lingkungan perusahaan yang mengandalkan n8n untuk mengotomatiskan proses penting.
Selain itu, fakta bahwa endpoint formulir publik dapat dimanfaatkan sebagai pintu masuk serangan menandakan perlunya evaluasi ulang terhadap desain keamanan fitur publik pada aplikasi serupa. Pengguna dan pengelola sistem harus lebih waspada dan menerapkan prinsip keamanan berlapis, termasuk pembatasan hak akses dan pengawasan aktivitas yang mencurigakan.
Ke depan, penting untuk mengikuti perkembangan patch keamanan dan mengadopsi praktik terbaik dalam pengelolaan workflow agar risiko serangan dapat diminimalkan. Pengawasan terhadap celah keamanan yang mungkin timbul dari integrasi eksternal juga harus menjadi prioritas utama.
Sebagai catatan, komunitas keamanan dan pengguna n8n perlu terus berbagi informasi dan berkolaborasi dalam memperkuat ekosistem agar ancaman serupa tidak menjadi bencana besar di masa depan.
Jangan lupa untuk selalu memperbarui perangkat lunak dan mengikuti berita keamanan terbaru untuk perlindungan optimal.
What's Your Reaction?
Like
0
Dislike
0
Love
0
Funny
0
Angry
0
Sad
0
Wow
0
