Соответствует ли n8n требованиям GDPR? Разницу определяет самостоятельный хостинг
n8n может работать в соответствии с GDPR, но не является таким автоматически. Чем отличаются облако и самостоятельный хостинг и где рабочие процессы теряют данные.
Активные CVE n8n и предупреждение CISA 2026 года затрагивают каждый самостоятельно размещённый инстанс. Что находится под угрозой и как установить патчи прямо сейчас.

Кто размещает n8n самостоятельно, тот сам устанавливает патчи, или не устанавливает вовсе. Именно это делает уязвимости безопасности n8n 2026 года реальным риском: американское агентство по кибербезопасности CISA впервые включило уязвимость n8n в свой каталог активно эксплуатируемых уязвимостей, при этом параллельно стало известно сразу о нескольких других критических CVE с максимальной оценкой.
Для компаний, которые эксплуатируют n8n на собственной инфраструктуре, чтобы сохранить контроль над своими данными, это не теоретическая проблема. В этой статье показано, какие именно уязвимости безопасности n8n 2026 года затронуты, почему самостоятельный хостинг смещает ответственность, а не снимает её, и что вам следует делать прямо сейчас.
CISA включила CVE-2025-68613 11 марта 2026 года в свой Known Exploited Vulnerabilities Catalog, первая уязвимость n8n вообще в этом каталоге, добавленная туда после того, как появились доказательства активной эксплуатации. Уязвимость позволяет аутентифицированным злоумышленникам с помощью специально подготовленного workflow-выражения выполнять код с правами процесса n8n (CVSS 9,9).
Затронуты версии n8n от 0.211.0 до версий, предшествующих пропатченным версиям 1.120.4, 1.121.1 и 1.122.0, сам патч вышел уже в декабре 2025 года. Федеральные ведомства США согласно предписанию CISA должны были устранить уязвимость до 25 марта 2026 года. По данным Shadowserver Foundation, в начале февраля 2026 года в сети было открыто более 24 700 непропатченных инстансов n8n, из них свыше 7 800 в Европе (источник: The Hacker News).
Ni8mare (CVE-2026-21858) достигает максимально возможной степени серьёзности с CVSS 10,0 и позволяет неаутентифицированным злоумышленникам из-за отсутствующих проверок Content-Type в формах-workflow читать произвольные файлы на сервере, что может доходить вплоть до поддельных админ-сессий и полного выполнения кода (источник: Rapid7). Затронуты версии от 1.65.0 до 1.120.x, уязвимость устранена начиная с версии 1.121.0.
Незадолго до этого стало известно об N8scape (CVE-2025-68668, CVSS 9,9): побеге из песочницы в узле Python Code, через который аутентифицированные пользователи с правами на workflow могут выполнять системные команды на хосте. Обе уязвимости показывают одну и ту же закономерность: там, где workflow могут принимать файлы или выполнять код, соответствующая модель безопасности становится поверхностью атаки. Даже первоначальное исправление для CVE-2025-68613 позже было снова обойдено с помощью CVE-2026-25049 (CVSS 9,4), что указывает на то, что здесь недостаточно одного цикла патчей.
При самостоятельно размещённом инстансе n8n вы полностью берёте управление патчами на себя, тогда как n8n Cloud устанавливает обновления безопасности автоматически. Именно этот контроль и есть причина, по которой многие компании среднего бизнеса и муниципалитеты выбирают самостоятельный хостинг, если через workflow проходят клиентские данные или административные процессы.
У этой свободы есть цена: сервер n8n, за которым никто активно не следит, сам становится риском, независимо от того, насколько хорошо продуманы отдельные workflow. Многие компании устанавливают n8n один раз и после этого обращаются с ним как с готовым инструментом, не следя постоянно за версиями или бюллетенями безопасности. Именно в этом и заключается разница между контролем и пренебрежением.
Для клиентов, чьи n8n-инстансы мы обслуживаем, фиксированное окно патчей является частью текущей эксплуатации, а не разовой реакцией после очередного заголовка новостей. После того как стало известно о CVE-2025-68613, мы на обслуживаемых инстансах сначала проверили версии и оперативно обновили затронутые системы, а также дополнительно проверили необычные обращения к workflow на основе форм.
Сюда же относится и governance в малом масштабе: кто может создавать или изменять workflow, какие узлы могут выполнять код или принимать файлы, и где внешнему доступу дополнительно требуется VPN или обратный прокси с собственной аутентификацией. В нашем ИИ-консультировании это не отдельная глава, а неотъемлемая часть каждой автоматизации, которая переходит в продуктив.
Пять шагов можно реализовать в большинстве конфигураций в течение одного дня:
Кто отметит сегодня эти пункты как выполненные, закроет актуально известные критические уязвимости. Навсегда эта тема этим не закрывается, слишком быстро меняется ситуация с угрозами, но уязвимым для известных в 2026 году векторов атак инстанс после этого уже не будет.
n8n Cloud постоянно обновляется самой компанией n8n, названные CVE на практике затрагивают прежде всего самостоятельно размещённые инстансы, которые не были своевременно обновлены до пропатченных версий.
Номер версии вы найдёте в настройках n8n или в футере инстанса. Сравните его с версиями патчей из официальных бюллетеней безопасности сообщества n8n, там n8n перечисляет каждую уязвимость отдельно с указанием затронутых и пропатченных версий.
Временно ограничьте доступ через VPN или белый список IP-адресов, отключите публично доступные workflow на основе форм и следите за логами доступа внимательнее, чем обычно. Это не заменяет обновление, но сокращает временное окно, в течение которого известная уязвимость остаётся эксплуатируемой.
Да. Мы проверяем версию, историю патчей и защиту доступа существующих n8n-инсталляций и по желанию берём на себя текущее управление патчами, чтобы вы сохраняли контроль над своей автоматизацией, не отслеживая при этом самостоятельно каждое сообщение о безопасности.
NordFlux создаёт цифровых сотрудников для организаций: автоматизации и КИ-агентов, которые берут на себя повторяющуюся работу. Вы сохраняете контроль.
n8n может работать в соответствии с GDPR, но не является таким автоматически. Чем отличаются облако и самостоятельный хостинг и где рабочие процессы теряют данные.
В рамках короткого технического анализа мы проверяем вашу версию n8n, управление патчами и защиту внешнего доступа, чтобы вы сохраняли контроль над своими данными и с точки зрения безопасности.