✅ 보고서 제목: n8n 워크플로우 자동화 플랫폼 취약점 분석: CVE-2025-68613, CVE-2026-21858, CVE-2026-25049

✅ 보고서 요약:

- S2W 위협 인텔리전스 센터 탈론(TALON)에서 최근 주목받고 있는 워크플로우 자동화 도구 n8n에서 확인된 다수의 취약점 가운데, CVE-2025-68613, CVE-2026-21858, CVE-2026-25049 등 3건을 선정해 악용 가능성과 대응 방안을 분석했습니다.

📌 CVE-2025-68613 상세 분석

- 본 취약점은 n8n의 표현식 평가 시스템에서 표현식에 대한 검증이 미흡하여 발생하는 Remote Code Execution 취약점입니다.

- 하단에 기재된 버전이 본 취약점의 영향을 받습니다.

- 0.211.0 ≤ n8n < 1.120.4

- 0.211.0 ≤ n8n < 1.121.1

- 0.211.0 ≤ n8n < 1.122.0

- 취약점 발생 원인

- n8n 표현식 평가 시스템에서 표현식 내부의 ‘this’ 바인딩에 대한 검증이 미흡하여 ‘this’가 전역 객체로 바인딩되며, 이로 인해 샌드박스를 우회한 임의 코드 실행이 가능해집니다.

- 취약점을 악용한 공격 시나리오

- 해당 취약점을 통해 계정을 획득한 외부 공격자는 n8n의 workflow 실행 과정에서 샌드박스를 우회하여 임의 코드를 실행할 수 있습니다.

📌 CVE-2026-21858 상세 분석

- 본 취약점은 n8n의 Form Trigger 노드에서 파일 업로드 요청을 처리하는 과정에서 Content-Type 헤더 검증이 수행되지 않아 발생하는 Arbitrary File Read 취약점입니다.

- 하단에 기재된 버전이 본 취약점의 영향을 받습니다.

- 1.65.0 ≤ n8n < 1.121.0

- 취약점 발생 원인

- n8n의 Form Trigger 노드에서 파일 업로드 요청 처리 시 Content-Type 헤더를 검증하지 않아 발생합니다.

- 이로 인해 parseBody()를 통해 저장된 공격자의 JSON 데이터가 그대로 신뢰되며, file.filepath 값이 검증 없이 copyBinaryFile() 함수로 전달되어 서버 내 임의 파일을 읽을 수 있게 됩니다.

- 취약점을 악용한 공격 시나리오

- 공격자는 application/json 요청으로 files 객체의 filepath 값을 조작할 수 있는 취약점을 통해 최종적으로 공격자가 서버 내 임의 파일을 읽을 수 있습니다.

- 본 취약점은 CVE-2025-68613과 연계될 경우 추가적인 보안 위협으로 확장될 수 있습니다.

📌 CVE-2026-25049 상세 분석

- 해당 취약점은 n8n의 표현식 평가 시스템에서 표현식에 대한 검증 미흡으로 발생하는 Remote Code Execution 취약점입니다.

- 하단에 기재된 버전이 본 취약점의 영향을 받습니다.

- 2.0.0 <= n8n < 2.5.2

- n8n < 1.123.17

- 취약점 발생 원인

- n8n의 표현식 평가 시스템에서 발생했던 원격 코드 실행 취약점 CVE-2025-68613에 대한 패치가 완전하지 않아 접근을 제한해야 할 property에 대한 검증이 누락되었거나, Template literal, Arrow function, with 등 다양한 JavaScript 문법 요소가 악용될 수 있습니다.

- 취약점을 악용한 공격 시나리오

- 공격자는 공격 대상 n8n 서비스를 탐지 후, workflow를 생성 및 수정할 수 있는 권한을 가진 계정을 획득해야 합니다.

- 공격자는 해당 계정을 활용하여 악의적인 workflow를 생성 및 실행함으로써 임의의 코드를 실행할 수 있고, 이는 정보 유출이나 내부 네트워크로의 횡적 이동으로 이어질 수 있습니다.