Pendahuluan

CSIRT Kubu Raya mengeluarkan peringatan keras bagi seluruh pengelola infrastruktur IT yang menggunakan platform otomatisasi n8n. Baru-baru ini telah diidentifikasi sebuah kerentanan kritis dengan kode CVE-2026-25049 yang memungkinkan aktor ancaman untuk melakukan eksploitasi secara remote tanpa memerlukan interaksi pengguna.

Detail Teknis

Kerentanan ini ditemukan pada mekanisme pemrosesan ekspresi JavaScript dalam inti aplikasi n8n. Celah ini dikategorikan sebagai Remote Code Execution (RCE), di mana penyerang dapat menyuntikkan kode berbahaya melalui payload yang dibuat khusus pada endpoint API tertentu. Karena kegagalan dalam validasi input di sisi server, kode tersebut dapat dieksekusi dengan hak akses yang sama dengan proses aplikasi n8n yang sedang berjalan.

Dampak Serangan

Dampak dari eksploitasi sukses CVE-2026-25049 sangatlah luas dan berbahaya, meliputi:

• Kompromi Server Sepenuhnya: Penyerang dapat memperoleh akses shell ke server host.
• Kebocoran Data Sensitif: Akses ke seluruh kredensial, token API, dan basis data yang terhubung dalam workflow n8n.
• Manipulasi Alur Kerja: Penyerang dapat mengubah atau menghapus alur kerja (workflow) kritis yang mendukung operasional bisnis.
• Lateral Movement: Server yang terkompromi dapat digunakan untuk menyerang sistem lain di dalam jaringan internal.

Langkah Mitigasi

Guna meminimalkan risiko, CSIRT Kubu Raya merekomendasikan langkah-langkah mitigasi segera sebagai berikut:

• Pembaruan Perangkat Lunak: Segera lakukan update n8n ke versi terbaru yang telah menyertakan patch keamanan untuk kerentanan ini.
• Pembatasan Akses Jaringan: Jangan mengekspos instance n8n secara langsung ke internet publik. Gunakan VPN atau IP Whitelisting untuk membatasi akses.
• Prinsip Least Privilege: Jalankan kontainer atau proses n8n dengan pengguna non-root dan hak akses minimal pada sistem operasi.
• Audit Log: Lakukan peninjauan secara berkala terhadap log akses dan log eksekusi workflow untuk mendeteksi aktivitas yang tidak lazim..