n8n'de kritik açıklar bulunmuş agalar, acil yamalayın

Posted on 12 Mar 2026

arkadaşlar, iş otomasyon platformu n8n’de iki tane kritik seviye açık bulunmuş ve yamalanmış. eğer n8n kullanıyorsanız acil acil güncelleyin, yoksa başınız ağrır.

ne var ne yok

n8n dediğimiz şey workflow automation platformu, yani iş akışlarınızı otomatikleştirdiğiniz bir araç. güvenlik araştırmacıları burada iki tane bomba gibi açık bulmuş:

  1. CVE-2026-27577 - CVSS skoru 9.4, yani kritik 🔴

    • expression sandbox kaçışı var, yani uzaktan kod çalıştırma (RCE) yapılabiliyor
    • saldırgan n8n’in expression engine’ini kullanarak sandbox’tan kaçıp sistem komutları çalıştırabiliyor
    • kısacası: kötü niyetli biri sunucunuzda istediği komutu çalıştırabilir

  2. CVE-2026-27493 - CVSS skoru 9.5, yani daha da kritik 🔴

    • kimlik doğrulama olmadan (unauthenticated) erişim var
    • saklanan credential’ları (kimlik bilgilerini) çekebiliyorlar
    • yani: giriş yapmadan sisteminizde saklanan şifrelere, API key’lere erişebiliyorlar

spoiler: bu açıklar yamalanmış durumda ama siz hala güncellemediyseniz ciddi risk altındasınız.

teknik detaylar

CVE-2026-27577 - sandbox kaçışı

n8n’in expression engine’i normalde izole bir ortamda (sandbox) çalışıyor olmalı. ama bu açık sayesinde saldırgan bu izolasyonu delip geçebiliyor ve doğrudan sistem komutları çalıştırabiliyor.

saldırı vektörü: network üzerinden, kullanıcı etkileşimi gerektirmeden

CVE-2026-27493 - kimlik bilgisi sızıntısı

daha da kötüsü bu. kimlik doğrulama olmadan n8n’de saklanan credential’lara erişilebiliyor. düşünün ki n8n’de AWS key’leriniz, database şifreleriniz, API token’larınız var. hepsi saldırganın eline geçebilir.

saldırı vektörü: network üzerinden, kimlik doğrulama gerektirmiyor

etkilenen sistemler

SistemDurum
n8n (yamasız versiyonlar)✅ Etkileniyor
n8n (güncel versiyon)❌ Etkilenmiyor

şimdi ne yapacaksınız

arkadaşlar, yapmanız gereken şey çok basit ama acil:

1. n8n versiyonunuzu kontrol edin

# n8n versiyonunu öğrenmek için
n8n --version

# veya docker kullanıyorsanız
docker exec n8n n8n --version

2. hemen güncelleyin

# npm ile kurduysanız
npm update -g n8n

# docker kullanıyorsanız
docker pull n8nio/n8n:latest
docker-compose down
docker-compose up -d

# self-hosted docker-compose setup için
# önce yedek alın
docker-compose exec n8n n8n export:workflow --all --output=/backup/
# sonra güncelleyin
docker-compose pull
docker-compose up -d

dikkat: güncelleme öncesi mutlaka yedek alın. workflow’larınızı export edin, database’inizi yedekleyin. sonra “workflow’larım uçtu” diye ağlamayın.

3. credential’larınızı rotate edin

CVE-2026-27493 açığı yüzünden kimlik bilgileriniz sızmış olabilir. bu yüzden:

  • n8n’de saklanan tüm API key’leri yenileyin
  • database şifrelerini değiştirin
  • cloud provider credential’larını (AWS, GCP, Azure) rotate edin
  • webhook URL’lerini yenileyin

4. log’ları kontrol edin

# docker log'larını kontrol edin
docker logs n8n --since 72h | grep -i "error\|unauthorized\|credential"

# şüpheli aktivite arıyoruz
# beklenmedik workflow çalıştırmaları
# credential erişim logları

geçici çözüm (yamalayamayanlar için)

eğer hemen güncelleyemiyorsanız (ki neden güncelleyemiyorsunuz, ama neyse):

  1. n8n’i internete kapalı hale getirin

    # firewall kuralı ekleyin, sadece güvenilir IP'lerden erişim
# nginx/apache reverse proxy kullanıyorsanız IP whitelist yapın

  2. VPN arkasına alın

    • n8n’e sadece VPN üzerinden erişim sağlayın
    • public internet’ten erişimi tamamen kapatın

  3. webhook’ları devre dışı bırakın

    • external webhook’ları geçici olarak kapatın
    • sadece internal kullanım yapın

ama bunlar geçici çözüm, asıl yapmanız gereken acil güncellemek.

timeline

  • keşif tarihi: bilinmiyor (vendor disclosure yapmış)
  • yama tarihi: mart 2026 başı (kesin tarih haberde yok)
  • public açıklama: 11 mart 2026
  • yapmanız gereken: şimdi, hemen, acil

edit: henüz aktif sömürü haberi yok ama bu açıklar artık public, yani saldırganlar da biliyor. exploit geliştirmeleri an meselesi.

kaynaklar

sonuç

agalar, n8n kullanıyorsanız bu işi ciddiye alın. iki açık da kritik seviyede, biri uzaktan kod çalıştırma, diğeri kimlik bilgisi sızıntısı. ikisi de felaket.

yapılacaklar listesi:

  • ✅ hemen n8n’i güncelleyin
  • ✅ credential’ları rotate edin
  • ✅ log’ları kontrol edin
  • ✅ güncelleme yapana kadar network erişimini kısıtlayın

son not: n8n güzel bir araç ama bu tür açıklar her platformda olabiliyor. düzenli güncelleme yapın, güvenlik bültenlerini takip edin, test ortamınızda deneyin sonra production’a alın.

hadi kolay gelsin, iyi yamalar.

Bu içerik yapay zeka tarafından oluşturulmuştur.