Platform otomasi workflow populer n8n dilaporkan memiliki beberapa kerentanan keamanan serius yang berpotensi memungkinkan eksekusi perintah arbitrer pada server yang menjalankan sistem tersebut. Peneliti keamanan siber mengungkapkan rincian dua kerentanan kritis yang kini telah diperbaiki, bersama dua kelemahan tambahan yang juga dapat dimanfaatkan untuk mencapai eksekusi kode jarak jauh.
Temuan ini berasal dari penelitian yang dilakukan oleh perusahaan keamanan Pillar Security. Peneliti mereka, Eilon Cohen, menemukan bahwa sejumlah kelemahan dalam mekanisme ekspresi dan pemrosesan workflow pada n8n dapat dimanfaatkan oleh penyerang untuk menjalankan kode berbahaya di host yang menjalankan platform tersebut.
n8n merupakan platform otomasi workflow yang banyak digunakan oleh developer dan organisasi untuk menghubungkan berbagai layanan dan aplikasi secara otomatis. Sistem ini memungkinkan pengguna membuat alur kerja yang memproses data, menjalankan skrip, atau memicu tindakan tertentu berdasarkan peristiwa tertentu. Kemampuan fleksibel ini membuat n8n populer dalam ekosistem otomasi, tetapi juga memperluas permukaan serangan ketika mekanisme eksekusinya memiliki celah keamanan.
Salah satu kerentanan utama yang ditemukan tercatat sebagai CVE-2026-27577 dengan skor CVSS 9.4. Celah ini merupakan sandbox escape yang terjadi pada komponen expression compiler milik n8n. Menurut laporan penelitian, kesalahan dalam proses penulisan ulang Abstract Syntax Tree atau AST menyebabkan suatu kondisi di mana objek proses dapat lolos dari transformasi yang seharusnya membatasi aksesnya.
Akibatnya, ekspresi yang dijalankan dalam workflow dapat memperoleh akses terhadap fungsi sistem yang seharusnya tidak tersedia di dalam lingkungan sandbox. Dengan kata lain, ekspresi yang dibuat oleh pengguna terautentikasi dapat menjalankan perintah sistem secara langsung pada host yang menjalankan n8n, sehingga menghasilkan kondisi remote code execution atau RCE.
Kerentanan kedua yang ditemukan memiliki tingkat keparahan yang bahkan sedikit lebih tinggi, dengan skor CVSS 9.5. Celah ini dilacak sebagai CVE-2026-27493 dan berkaitan dengan mekanisme evaluasi ekspresi pada Form node di dalam n8n. Dalam laporan teknisnya, Pillar Security menjelaskan bahwa kerentanan ini muncul akibat bug evaluasi ganda yang memungkinkan ekspresi diproses dua kali secara tidak semestinya.
Form node dalam n8n secara desain menyediakan endpoint publik yang memungkinkan pengguna eksternal mengirimkan data melalui formulir web. Endpoint tersebut tidak memerlukan autentikasi atau akun n8n untuk diakses. Kondisi ini menjadi titik masuk potensial bagi penyerang untuk menyisipkan ekspresi berbahaya melalui input formulir.
Dalam skenario eksploitasi yang didemonstrasikan peneliti, penyerang hanya perlu memanfaatkan formulir publik seperti halaman “Contact Us”. Dengan menyisipkan payload tertentu pada kolom input, misalnya pada field nama, sistem dapat dipicu untuk mengeksekusi perintah shell pada server yang menjalankan workflow tersebut.
Menurut pengembang n8n, kerentanan ini menjadi jauh lebih berbahaya ketika digabungkan dengan kelemahan sandbox escape seperti CVE-2026-27577. Dalam kondisi tersebut, eksploitasi dapat meningkat dari sekadar injeksi ekspresi menjadi eksekusi kode jarak jauh secara penuh pada host n8n.
Kedua kerentanan tersebut diketahui memengaruhi berbagai versi n8n, baik pada instalasi self-hosted maupun deployment berbasis cloud. Versi yang terdampak mencakup semua rilis sebelum 1.123.22, versi 2.0.0 hingga sebelum 2.9.3, serta versi 2.10.0 sebelum pembaruan 2.10.1. Pengembang telah merilis pembaruan keamanan untuk menutup celah tersebut dalam versi 2.10.1, 2.9.3, dan 1.123.22.
Selain dua kerentanan utama tersebut, pembaruan keamanan yang sama juga memperbaiki dua kelemahan kritis lain yang dapat berujung pada eksekusi kode arbitrer. Kerentanan pertama tercatat sebagai CVE-2026-27495 dengan skor CVSS 9.4. Celah ini berkaitan dengan sandbox JavaScript Task Runner milik n8n.
Dalam kondisi tertentu, pengguna yang memiliki izin untuk membuat atau memodifikasi workflow dapat memanfaatkan kerentanan injeksi kode pada sandbox tersebut. Jika berhasil dieksploitasi, kode JavaScript yang dijalankan dapat keluar dari batasan sandbox dan memperoleh akses langsung ke lingkungan sistem host.
Kerentanan berikutnya, CVE-2026-27497 dengan skor CVSS 9.4, ditemukan pada fitur Merge node ketika digunakan dalam mode SQL query. Penyerang yang memiliki hak untuk mengedit workflow dapat memanfaatkan fitur ini untuk mengeksekusi kode arbitrer serta menulis file secara langsung pada server yang menjalankan n8n.
Pillar Security memperingatkan bahwa dampak dari kerentanan ini tidak hanya terbatas pada eksekusi perintah sistem. Dalam beberapa skenario eksploitasi, penyerang juga dapat membaca variabel lingkungan penting yang digunakan oleh n8n. Salah satu variabel yang disebutkan adalah N8N_ENCRYPTION_KEY, yang digunakan untuk mengenkripsi kredensial yang tersimpan dalam basis data platform tersebut.
Jika kunci enkripsi tersebut berhasil diperoleh, penyerang berpotensi mendekripsi berbagai kredensial sensitif yang tersimpan di dalam sistem. Informasi yang berisiko terekspos mencakup kunci akses AWS, kata sandi database, token OAuth, serta API key yang digunakan dalam berbagai integrasi layanan otomatis.
Eksposur semacam ini dapat membuka jalan bagi kompromi lebih luas pada infrastruktur organisasi yang menggunakan n8n sebagai sistem integrasi workflow. Mengingat platform ini sering digunakan untuk menghubungkan berbagai layanan cloud dan sistem internal, kredensial yang tersimpan di dalamnya sering kali memiliki akses tingkat tinggi terhadap sumber daya penting.
Sebagai langkah mitigasi sementara, pengembang n8n menyarankan sejumlah tindakan bagi pengguna yang belum dapat segera melakukan pembaruan sistem. Untuk kerentanan CVE-2026-27577, pengguna disarankan membatasi izin pembuatan dan pengeditan workflow hanya kepada pengguna yang sepenuhnya dipercaya. Selain itu, sistem sebaiknya dijalankan dalam lingkungan yang diperkuat dengan pembatasan hak akses sistem operasi dan kontrol akses jaringan.
Sementara itu, untuk kerentanan CVE-2026-27493 yang berkaitan dengan Form node, pengguna disarankan meninjau kembali penggunaan node tersebut dalam workflow yang ada. Opsi mitigasi lain termasuk menonaktifkan Form node dengan menambahkan konfigurasi tertentu pada variabel lingkungan sistem.
Pengembang juga menyarankan agar pengguna menonaktifkan Form Trigger node melalui mekanisme konfigurasi yang sama jika tidak benar-benar diperlukan. Meski demikian, tim pengembang menegaskan bahwa langkah-langkah ini hanya bersifat mitigasi sementara dan tidak sepenuhnya menghilangkan risiko keamanan.
Untuk kerentanan yang terkait dengan JavaScript Task Runner, pengembang menyarankan penggunaan mode external runner melalui konfigurasi N8N_RUNNERS_MODE=external. Mode ini dirancang untuk membatasi dampak eksploitasi dengan memisahkan proses eksekusi dari lingkungan utama aplikasi.
Sementara itu, mitigasi untuk kelemahan pada Merge node dapat dilakukan dengan menonaktifkan node tersebut melalui konfigurasi NODES_EXCLUDE jika fitur tersebut tidak diperlukan dalam workflow.
Hingga saat ini, tidak ada indikasi bahwa kerentanan tersebut telah dieksploitasi secara aktif di lingkungan nyata. Namun para peneliti menekankan bahwa tingkat keparahan yang tinggi dan potensi dampak terhadap kredensial sensitif membuat pembaruan sistem menjadi langkah yang sangat penting.
Pengguna n8n disarankan untuk segera memperbarui instalasi mereka ke versi terbaru yang telah memperbaiki seluruh kerentanan tersebut. Dalam konteks platform otomasi yang sering memproses kredensial dan data sensitif lintas layanan, menjaga sistem tetap diperbarui menjadi langkah krusial untuk mencegah penyalahgunaan akses dan kompromi infrastruktur yang lebih luas.