n8n CVE-2025-68613 RCE Zafiyeti: Teknik Analiz ve Çözüm

n8n ve AdonisJS Derinlemesine Zafiyet Analizi: CVE-2025-68613 ile RCE Tehdidi

Siber güvenlik ekosistemi, popüler düşük kodlu otomasyon platformu n8n'in temelini oluşturan AdonisJS framework'ünde tespit edilen kritik bir Uzaktan Kod Yürütme (RCE) zafiyeti ile çalkalanıyor. CVE-2025-68613 olarak izlenen ve CVSS skoru 9.9 olarak belirlenen bu açık, saldırganların herhangi bir kimlik doğrulamasına ihtiyaç duymadan hedef sunucuda tam yetkiyle komut çalıştırmasına olanak tanıyor. İnternete açık haldeki yaklaşık 10.000 n8n instance'ı şu an doğrudan risk altında.

Teknik Analiz: Prototype Pollution'dan RCE'ye Uzanan Yol

Şekil 1: AdonisJS çekirdek bileşenlerinde veri işleme ve yetkisiz erişim akış diyagramı

Zafiyet, n8n'in kullandığı AdonisJS framework'ünün @adonisjs/core ve @adonisjs/bodyparser kütüphanelerindeki parametre işleme mekanizmasından kaynaklanmaktadır. Teknik olarak zafiyet, bir Prototype Pollution (Prototipe Bulaşma) açığının, Node.js çalışma zamanındaki global objeleri manipüle ederek kod yürütmeye evrilmesidir. Saldırgan, özel olarak yapılandırılmış JSON yükleri (payload) göndererek, AdonisJS'in internal route işleyicilerini veya şablon motorlarını (Edge.js gibi yan bileşenler dahil) istismar edebilir.

Hata, sadece basit bir girdi doğrulama eksikliği değildir; sistemin gelen HTTP isteklerindeki 'nested' (iç içe geçmiş) objeleri deserialize ederken prototip zincirini koruyamamasıdır. Bu durum, saldırganın sunucu tarafında process.env gibi kritik objelere müdahale etmesine veya uygulama belleğinde yeni fonksiyonlar tanımlamasına yol açar.

Agentic Workflow ve Otonom Sistemlerin Güvenlik Paradoksu

Şekil 2: Agentic Workflow yapılarında zafiyetin yayılım etkisi ve veri sızıntısı riskleri

Modern otomasyon stratejilerinde kullanılan Agentic Workflow (Ajan tabanlı iş akışları), bu zafiyetle birlikte çok daha tehlikeli bir boyuta ulaşmaktadır. Otonom sistemler genellikle yüksek yetkili API anahtarlarına, veritabanı erişimlerine ve bulut altyapısı (AWS/Azure) yönetim izinlerine sahiptir. CVE-2025-68613 üzerinden n8n sunucusuna sızan bir saldırgan, sadece işletim sistemi seviyesinde kalmaz; platformda kayıtlı olan tüm Credentials verilerine ve otonom ajanların yetki alanlarına erişir.

Bu durum, saldırganın şirket içi Slack yazışmalarına müdahale etmesinden, CI/CD süreçlerini bozmasına kadar geniş bir yelpazede yıkıcı etki yaratabilir. Otonom sistemlerin sunduğu 'otonomlik', güvenlik duvarları aşıldığında saldırgan için 'otonom bir yıkım aracına' dönüşmektedir.

Somut Eylem Planı ve Remidasyon Adımları

Şekil 3: Kritik güvenlik yaması uygulama ve sistem izolasyon adımları

Sistem yöneticilerinin ve DevOps ekiplerinin vakit kaybetmeden aşağıdaki adımları izlemesi gerekmektedir:

1. Versiyon Güncellemesi: n8n ekibi zafiyeti gidermek için acil yamalar yayınlamıştır. Eğer self-hosted bir yapı kullanıyorsanız, n8n sürümünüzü derhal v1.54.2, v1.55.3 veya v1.56.0 (ve üzeri) sürümlerinden birine yükseltin. Docker kullanıcıları için: docker pull n8nio/n8n:latest.
2. Ortam Değişkenlerini (Env Vars) Koruyun: Özellikle N8N_ENCRYPTION_KEY değişkeninin güvenliğini teyit edin. Eğer sistemde bir sızıntı emaresi varsa, bu anahtarın değiştirilmesi ve tüm credential'ların yeniden tanımlanması gerekebilir.
3. Ağ Katmanında Sıkılaştırma: n8n instance'ınızı asla doğrudan genel internete açmayın. Uygulamayı bir Reverse Proxy arkasına alın ve sadece belirli IP bloklarına veya VPN üzerinden erişime izin verin.
4. Zafiyet Taraması: AdonisJS loglarını inceleyerek, __proto__ veya constructor gibi kelimeleri içeren şüpheli POST isteklerini filtreleyin. Bu tür istekler, başarılı veya başarısız bir saldırı girişiminin kanıtıdır.

Sonuç: Mühendislik Ciddiyeti ve Güvenlik Sürdürülebilirliği

n8n ve AdonisJS vakası, modern yazılım geliştirme süreçlerinde framework seviyesindeki güvenliğin ne kadar kritik olduğunu bir kez daha kanıtlamıştır. Otomasyon araçları işletmelerin verimliliğini artırırken, aynı zamanda saldırı yüzeyini de genişletmektedir. Güvenlik, bir ürün özelliği değil, sistemin temel mimari taşıdır. Bu tür kritik RCE zafiyetlerine karşı hazırlıklı olmanın tek yolu, sürekli izleme, zamanında yama yönetimi ve 'en az yetki' (Least Privilege) prensibine dayalı ağ yapılandırmalarıdır.