n8n Token Değişiminde Kritik Güvenlik Açığı: Saldırganlar Başka Kullanıcıların Hesabına Girebiliyor Siber Güvenlik

n8n Token Değişiminde Kritik Güvenlik Açığı: Saldırganlar Başka Kullanıcıların Hesabına Girebiliyor

n8n platformunda keşfedilen CVE-2026-59208 güvenlik açığı, token değişiminde iss doğrulaması yapılmadığı için saldırganların başka kullanıcı hesapları

Popüler iş akışı otomasyon platformu n8n'de keşfedilen ciddi bir güvenlik açığı, Enterprise sürüm kullanıcılarını tehdit ediyor. CVE-2026-59208 olarak izlenen bu açık, token değişim (token exchange) mekanizmasındaki bir kimlik bağlama hatasından kaynaklanıyor. n8n, 24 Haziran'da yayınladığı güncellemeyle bu sorunu çözdü, ancak güvenlik açığının detayları 9 Temmuz'da kamuoyuna duyuruldu.

Güvenlik açığı, n8n'in Enterprise sürümünde bulunan ve RFC 8693 standardını uygulayan token değişim özelliğinde ortaya çıkıyor. Bu özellik, OEM ortaklarının n8n'i kendi ürünlerine entegre etmesini sağlıyor ve kullanıcıların ikinci bir giriş ekranıyla karşılaşmaması için tasarlanmış. Ancak sistem, gelen JWT token'larını doğrularken yalnızca 'sub' (subject) alanına bakıyor ve token'ı hangi issuer'ın (iss) yayınladığını kontrol etmiyor.

Bu zayıflık, iki farklı issuer'ın aynı 'sub' değerine sahip token'lar üretmesi durumunda, her iki token'ın da aynı n8n hesabına yönlendirilmesine neden oluyor. Saldırgan, geçerli bir token elde edebildiği takdirde, başka bir kullanıcının hesabına şifre gerektirmeden girebiliyor. RFC 7519 standardı, 'sub' değerinin issuer bağlamında benzersiz olması gerektiğini belirtiyor, ancak n8n bu uyarıyı dikkate almamış.

Açıktan etkilenmek için n8n Enterprise sürümünün token değişim özelliğinin aktif olması ve en az iki farklı external issuer'ın güvenilen anahtarlar listesinde (N8N_TOKEN_EXCHANGE_TRUSTED_KEYS) bulunması gerekiyor. n8n, bu özelliğin hâlâ 'önizleme' aşamasında olduğunu ve yalnızca OEM dağıtımlarını etkilediğini belirtiyor. GitHub, CVSS 4.0 skorunu 7.6 (yüksek) olarak belirlerken, NVD ise CVSS 3.1'de 6.8 (orta) puan veriyor.

Saldırganın token'ı nasıl elde edeceği konusu henüz net değil. Güvenlik danışmanlığı, saldırganın 'bir token elde edebileceğini' söylemekle yetiniyor. Strix firmasının yapay zeka destekli penetrasyon test ajanı tarafından keşfedilen bu açık, şu ana kadar herhangi bir istismar raporu bulunmuyor. Ancak The Hacker News, kamuya açık bir proof-of-concept (PoC) kodu tespit edemedi.

n8n, bu güvenlik açığını 2.27.4 ve 2.28.1 sürümlerinde düzeltti. Etkilenen tüm sürümler 2.27.4 altı ve 2.28.0'dır. Şu anki en güncel kararlı sürüm 2.30.6. Kullanıcıların en kısa sürede güncelleme yapmaları öneriliyor. Güncelleme yapılamıyorsa, token değişim özelliğinin kapatılması veya güvenilen issuer sayısının tek bir tane ile sınırlandırılması geçici çözüm olarak sunuluyor.

İlginç bir şekilde, n8n'in sürüm notlarında bu güvenlik açığından hiç bahsedilmiyor. 2.27.4 ve 2.28.1 değişiklik günlüklerinde Python import düzeltmesi, Google Ads node yükseltmesi ve AI iş akışı iyileştirmeleri gibi maddeler yer alırken, kimlik doğrulama hatasına dair tek bir satır bulunmuyor. Bu durum, güncelleme kararlarını yalnızca sürüm notlarına dayandıran kullanıcılar için önemli bir risk oluşturuyor.

Kaynak: thehackernews.com

Paylaş: