Tiga CVE Kritis n8n Buka Akses RCE Penuh dari Hak Pengguna Rendah
INFO TEKNO> Tiga kerentanan keamanan berperingkat kritis ditemukan di platform otomatisasi alur kerja n8n, membuka jalur eksekusi kode jarak jauh (RCE) penuh bagi penyerang yang hanya memiliki izin pengeditan alur kerja standar. Ketiga celah tersebut memengaruhi node HTTP Request, Git, dan XML secara langsung.
Tiga Celah, Satu Rantai Eksploitasi
Peneliti keamanan Jubke mempublikasikan temuan ini melalui GitHub Security Advisories, mengungkap bagaimana CVE-2026-44789, CVE-2026-44790, dan CVE-2026-44791 tidak harus berdiri sendiri untuk menjadi berbahaya. Ketiganya dapat dirangkai menjadi satu rantai eksploitasi yang membawa penyerang dari akses pengguna biasa menuju kendali penuh atas instance n8n dan sistem host yang menopangnya.
Seluruh kerentanan mendapatkan peringkat kritis dengan skor CVSS yang mencerminkan dampak tinggi terhadap tiga pilar keamanan informasi: kerahasiaan data, integritas sistem, dan ketersediaan layanan.
Yang paling meresahkan bagi lingkungan enterprise adalah syarat eksploitasi yang sangat rendah. Penyerang tidak membutuhkan akses administrator. Izin pengeditan alur kerja yang dimiliki oleh akun pengguna biasa sudah cukup sebagai titik masuk awal.
CVE-2026-44789: Prototype Pollution via Parameter Paginasi
Kerentanan paling serius berada di node HTTP Request. Masalahnya lahir dari validasi parameter paginasi yang tidak memadai, memungkinkan penyerang memicu serangan prototype pollution—teknik yang diklasifikasikan di bawah CWE-1321 dalam kerangka Common Weakness Enumeration.
Prototype pollution bekerja dengan memanipulasi prototipe objek JavaScript di tingkat global. Dalam ekosistem JavaScript, hampir seluruh objek mewarisi sifat dari Object.prototype. Jika rantai prototipe itu berhasil dimodifikasi oleh pihak luar, properti berbahaya dapat tersuntik ke dalam seluruh objek aplikasi yang bergantung pada prototipe yang sama—tanpa batasan ruang lingkup yang efektif.
Di lingkungan n8n, efek ini sangat destruktif karena alur kerja sering berjalan terintegrasi dengan API eksternal, sistem internal perusahaan, dan layanan cloud. Properti yang terkontaminasi dapat dimanfaatkan secara berantai bersama teknik serangan lain untuk mengeksekusi kode sembarangan di sistem host.
Permukaan serangan meluas seiring skala penggunaan. Organisasi yang menjalankan ratusan alur kerja otomatis menghadapi eksposur yang jauh lebih besar dibandingkan instalasi dengan konfigurasi minimal.
CVE-2026-44790: Injeksi Flag CLI di Node Git
Kerentanan kedua mengeksploitasi node Git melalui mekanisme injeksi argumen, dikategorikan sebagai CWE-88. Selama operasi Git push, penyerang dapat menyuntikkan flag CLI berbahaya ke dalam perintah yang dieksekusi oleh node tersebut—mengakibatkan pembacaan file sembarangan di server.
File yang berpotensi diakses mencakup:
- File konfigurasi aplikasi yang menyimpan string koneksi database
- Kredensial autentikasi layanan eksternal dan internal
- Variabel lingkungan yang memuat API key, token akses, dan password sensitif
Dalam banyak skenario nyata, akses ke variabel lingkungan saja sudah cukup untuk membuka pintu masuk ke seluruh infrastruktur yang terhubung dengan instance n8n. Peneliti menegaskan bahwa jenis akses seperti ini dalam banyak kasus secara langsung berujung pada kompromi sistem secara total—tanpa memerlukan tahap eksploitasi tambahan.
CVE-2026-44791: Bypass Patch di Node XML
Kerentanan ketiga adalah yang paling kompleks dari sisi manajemen respons keamanan. CVE-2026-44791 merupakan bypass terhadap perbaikan yang sebelumnya sudah diterapkan untuk menutup celah serupa di node XML.
Meski patch lama sudah eksis, penyerang tetap dapat mengeksploitasi prototype pollution melalui jalur alternatif yang tidak tertutup oleh perbaikan sebelumnya. Ini berarti sistem yang diyakini aman setelah patch pertama justru masih terbuka terhadap eksploitasi aktif.
Jika dikombinasikan dengan CVE-2026-44789 atau CVE-2026-44790, rantai serangan tetap berujung pada eksekusi kode jarak jauh. Patch lama menjadi tidak berlaku secara efektif—dan sistem yang masuk kategori “sudah ditambal” kembali rentan tanpa sepengetahuan administrator.
Versi yang Terpengaruh dan Jadwal Pembaruan
Seluruh instalasi n8n yang berjalan di bawah versi 1.123.43, 2.20.7, dan 2.22.1 terekspos terhadap ketiga CVE ini. Perbaikan resmi telah tersedia mulai versi 1.123.43, 2.20.7, 2.22.1, dan semua rilis yang lebih baru.
Tim keamanan yang mengelola instance n8n wajib melakukan peningkatan versi sesegera mungkin. Tidak ada solusi mitigasi yang sepenuhnya setara dengan pembaruan—semua pendekatan alternatif hanya bersifat sementara dan tidak menghilangkan risiko secara keseluruhan.
Mitigasi Darurat Sebelum Pembaruan
Bagi organisasi yang belum dapat melakukan pembaruan segera karena kendala operasional, peneliti merekomendasikan dua tindakan darurat.
Pertama, batasi izin pembuatan dan pengeditan alur kerja secara ketat. Akses hanya diberikan kepada pengguna yang benar-benar tepercaya dan memiliki kebutuhan bisnis yang terdokumentasi.
Kedua, nonaktifkan node-node rentan menggunakan variabel lingkungan NODES_EXCLUDE dengan konfigurasi berikut:
- Node HTTP Request:
n8n-nodes-base.httpRequest - Node Git:
n8n-nodes-base.git - Node XML:
n8n-nodes-base.xml
Penonaktifan node-node ini meminimalkan permukaan serangan, tetapi alur kerja yang bergantung pada ketiga node tersebut otomatis akan berhenti berfungsi. Ada dampak operasional nyata yang perlu dikalkulasi sebelum langkah ini dieksekusi di lingkungan produksi.
Implikasi Keamanan Platform Otomatisasi Berbasis Node
Pengungkapan ketiga CVE ini menegaskan kelemahan struktural yang lebih luas pada platform otomatisasi alur kerja berbasis node. Arsitektur yang menghubungkan puluhan hingga ratusan node dengan berbagai integrasi eksternal menciptakan rantai kepercayaan panjang—setiap mata rantai yang lemah berpotensi menjadi titik masuk yang fatal.
Dalam ekosistem seperti n8n, dampak dari kerentanan satu node tidak terbatas pada node itu sendiri. Karena alur kerja mengalir dari satu node ke node berikutnya secara otomatis, celah kecil dapat diperkuat oleh arsitektur alur kerja itu sendiri untuk menjangkau sistem-sistem yang jauh lebih kritis di hilir.
Dari hak akses pengeditan alur kerja standar menuju kendali penuh atas sistem host—jarak teknis antara keduanya, menurut analisis peneliti, dapat ditempuh dalam hitungan menit.
FAQ
Q: Apa saja kerentanan kritis yang ditemukan di n8n pada 2026?
A: Tiga CVE kritis ditemukan: CVE-2026-44789 (prototype pollution di node HTTP Request), CVE-2026-44790 (injeksi argumen di node Git), dan CVE-2026-44791 (bypass patch di node XML). Ketiganya dapat dirantai untuk menghasilkan eksekusi kode jarak jauh (RCE) penuh.
Q: Versi n8n mana yang rentan terhadap CVE-2026-44789, CVE-2026-44790, dan CVE-2026-44791?
A: Semua versi n8n di bawah 1.123.43, 2.20.7, dan 2.22.1 rentan. Perbaikan tersedia mulai versi 1.123.43, 2.20.7, 2.22.1, dan rilis yang lebih baru.
Q: Bagaimana cara menonaktifkan node rentan di n8n sementara menunggu pembaruan?
A: Gunakan variabel lingkungan NODES_EXCLUDE untuk menonaktifkan tiga node berikut: n8n-nodes-base.httpRequest, n8n-nodes-base.git, dan n8n-nodes-base.xml. Langkah ini bersifat sementara dan berdampak pada operasional alur kerja yang bergantung pada node tersebut.
Q: Apa itu prototype pollution dan mengapa berbahaya di n8n?
A: Prototype pollution (CWE-1321) adalah teknik serangan yang memanipulasi prototipe objek JavaScript secara global. Di n8n, teknik ini memungkinkan penyerang menyuntikkan properti berbahaya ke objek aplikasi dan memanfaatkannya untuk mengeksekusi kode sembarangan di sistem host.
Q: Siapa yang menemukan kerentanan kritis n8n ini?
A: Kerentanan ini ditemukan dan diungkapkan oleh peneliti keamanan bernama Jubke melalui GitHub Security Advisories.
Aaf Afiatna (Aura OS) adalah seorang WordPress Developer, Administrator IT, dan penggerak di balik infrastruktur berbagai portal media digital PT Arina Duta Sehati. Ia memiliki ketertarikan mendalam pada rekayasa sistem tingkat rendah, implementasi AI on-device, dan pengembangan proyek open-source seperti Neural Standby Kernel (NSK). Saat tidak sedang berurusan dengan server atau kode, ia aktif mengeksplorasi ekosistem Web3 dan berbagi wawasan melalui channel YouTube CryptoFansWorld.
