CISA Tandai Bug RCE n8n yang Dieksploitasi Aktif, 24.700 Instansi Terancam

Badan Keamanan Siber dan Infrastruktur Amerika Serikat (CISA) pada Rabu lalu memasukkan celah keamanan kritis yang memengaruhi platform otomasi alur kerja n8n ke dalam katalog Known Exploited Vulnerabilities (KEV). Langkah ini diambil setelah adanya bukti bahwa celah tersebut telah digunakan secara aktif oleh penyerang.

Celah Keamanan RCE n8n CVE-2025-68613

Celah yang diberi kode CVE-2025-68613 dengan skor CVSS 9,9 ini merupakan kasus expression injection yang memungkinkan pelaku melakukan remote code execution (RCE). Kerentanan ini telah diperbaiki oleh pengembang n8n sejak Desember 2025 pada versi 1.120.4, 1.121.1, dan 1.122.0. Uniknya, CVE-2025-68613 menjadi celah n8n pertama yang masuk dalam katalog KEV CISA.

"N8n memiliki kelemahan dalam pengendalian sumber daya kode yang dikelola secara dinamis dalam sistem evaluasi ekspresi alur kerjanya yang memungkinkan eksekusi kode jarak jauh," ujar CISA.

Menurut pengelola platform otomasi ini, celah tersebut dapat dimanfaatkan oleh penyerang yang sudah memiliki akses autentikasi untuk menjalankan kode sembarangan dengan hak istimewa proses n8n.

Jika berhasil dieksploitasi, pelaku bisa menguasai sepenuhnya instansi n8n yang diserang, membuka akses ke data sensitif, mengubah alur kerja, bahkan menjalankan operasi tingkat sistem yang berpotensi merusak integritas dan kerahasiaan sistem.

Ribuan Instansi Masih Rentan dan Sebaran Geografis

Meski belum ada rincian lengkap bagaimana eksploitasi ini berlangsung di dunia nyata, data dari Shadowserver Foundation mengungkapkan bahwa terdapat lebih dari 24.700 instansi n8n yang belum diperbarui dan terbuka di internet hingga awal Februari 2026 lalu.

• Lebih dari 12.300 instansi berada di wilayah Amerika Utara.
• 7.800 instansi lainnya tersebar di Eropa.

Jumlah ini menunjukkan risiko besar bagi organisasi yang mengoperasikan n8n tanpa pembaruan keamanan terkini.

Tambahan Celah Kritis dan Perintah Patch Federal

Pada waktu yang berdekatan, Pillar Security mengungkap dua celah kritis tambahan pada n8n, salah satunya CVE-2026-27577 (skor CVSS 9,4), yang juga ditemukan pada sistem evaluasi ekspresi alur kerja, dianggap sebagai eksploitasi tambahan dari celah CVE-2025-68613.

Menanggapi ancaman ini, semua instansi Federal Civilian Executive Branch (FCEB) diwajibkan untuk segera memperbarui dan menambal instansi n8n mereka paling lambat tanggal 25 Maret 2026 sesuai dengan perintah operasional yang dikeluarkan pada November 2021 (BOD 22-01).

Analisis Redaksi

Menurut pandangan redaksi, penambahan celah CVE-2025-68613 ke dalam katalog KEV CISA menandakan bahwa eksploitasi celah ini bukan sekadar potensi melainkan sudah menjadi ancaman nyata yang sedang terjadi. Dengan jumlah instansi n8n yang terbuka dan belum diperbarui sebanyak puluhan ribu, risiko serangan skala besar dan pencurian data sangat mungkin terjadi jika langkah mitigasi tidak segera dilakukan.

Lebih jauh, ditemukan celah tambahan (CVE-2026-27577) memperlihatkan bahwa sistem evaluasi ekspresi n8n memiliki kelemahan berlapis yang bisa dimanfaatkan secara berkelanjutan oleh penyerang untuk meningkatkan hak akses atau memperluas jejak serangan di dalam jaringan. Ini harus menjadi peringatan bagi seluruh organisasi yang menggunakan n8n untuk segera meninjau dan memperkuat kebijakan keamanan mereka.

Ke depan, publik dan pelaku industri perlu waspada terhadap potensi eksploitasi lanjutan dan varian baru dari celah ini. Update rutin, pemantauan jaringan, serta edukasi keamanan menjadi kunci utama dalam menghadapi ancaman siber yang terus berkembang.

Untuk perkembangan terbaru dan tips keamanan siber lainnya, pastikan Anda mengikuti berita resmi dari CISA dan sumber terpercaya lainnya.