n8n GDPR'a Uygun mu? Farkı Yaratan Self-Hosting
n8n GDPR'a uygun şekilde çalışabilir, ancak otomatik olarak uyumlu değildir. Cloud ile self-hosting'i birbirinden ayıran nedir ve iş akışları verileri nerede kaybeder.
Aktif n8n-CVE'ler ve 2026 CISA uyarısı her kendi kendine barındırılan örneği etkiliyor. Neyin etkilendiğini ve şimdi nasıl yama yapacağınızı öğrenin.

n8n'i kendi başına barındıran kişi, kendi başına yama yapıyor ya da yapmıyor. Tam da bu durum, 2026 n8n Güvenlik Açıklarını gerçek bir risiko haline getiriyor: ABD Siber Güvenlik Acentesi CISA ilk kez bir n8n zayıflığını aktif olarak istismar edilen Güvenlik Açıkları kataloğuna ekledi, aynı zamanda birkaç başka kritik CVE de en yüksek derecelendirme ile bilinir hale geldi.
n8n'i kendi altyapısında çalıştıran ve verilerinin kontrolünü tutmak isteyen şirketler için bu teorik bir sorun değil. Bu yazı, 2026'da hangi n8n Güvenlik Açıklarının somut olarak etkilendiğini, Self-Hosting'in sorumluluğu çözmek yerine neden kaydırıyor olduğunu ve şimdi ne yapmanız gerektiğini gösteriyor.
CISA CVE-2025-68613 11 Mart 2026'da kendi Bilinen İstismar Edilen Açıklar Kataloğuna eklendi, aktif istismarın kanıtları mevcut olduktan sonra, bu katalogda ilk n8n zayıflığıdır. Açık, kimliği doğrulanmış saldırganların manipüle edilmiş bir İş Akışı İfadesi aracılığıyla n8n işleminin haklarıyla kodu yürütmesine izin verir (CVSS 9,9).
Etkilenen n8n sürümleri 0.211.0'dan yama yapılmış durumlar 1.120.4, 1.121.1 ve 1.122.0 öncesine kadar, Yama kendisi Aralık 2025'te zaten yayınlandı. ABD federal ajansları CISA yönetmeliğine göre 25 Mart 2026'ya kadar uyum sağlaması gerekiyordu. Shadowserver Foundation numaralarına göre Şubat 2026 başında 24.700'den fazla yama yapılmamış n8n örneği internette açık durumda idi, bunun 7.800'den fazlası Avrupa'da idi (Kaynak: The Hacker News).
Ni8mare (CVE-2026-21858) CVSS 10,0 ile en yüksek önem derecesine ulaşır ve kimliği doğrulanmamış saldırganların, Form İş Akışlarında eksik Content-Type denetimlerinin aracılığıyla sunucudaki keyfi dosyaları okumasına izin verir, bu da sahte Admin oturumlarına ve tam kod yürütmeye kadar gidebilir (Kaynak: Rapid7). Etkilenen sürümler 1.65.0 ile 1.120.x arasındadır, açık 1.121.0'dan itibaren yamalanmıştır.
Kısa süre önce N8scape (CVE-2025-68668, CVSS 9,9) bilinir hale geldi: Python Kod Düğümünde bir Sandbox Kaçışı, kimliği doğrulanan kullanıcılar İş Akışı haklarıyla ana bilgisayarda sistem komutları çalıştırabiliyor. Her iki açık bir düzen gösteriyor: İş Akışlarının dosyaları kabul ettiği veya kodu yürütmesine izin verildiği yerde, ilgili güvenlik modeli bir saldırı yüzeyine dönüşüyor. CVE-2025-68613 için orijinal düzeltme bile daha sonra CVE-2026-25049 (CVSS 9,4) ile yeniden atlatıldı, bu da tek bir yama çalışmasının burada yeterli olmadığının bir işareti.
Kendi kendine barındırılan bir n8n örneğinde, Yama Yönetimini tamamen kendi başınıza üstlenirsiniz, n8n Bulut ise Güvenlik Güncellemelerini otomatik olarak çalar. Tam da bu kontrol, birçok orta büyüklükteki işletme ve belediyenin müşteri verileri veya idari süreçler İş Akışlarından geçtiğinde Self-Hosting'i seçme nedenini oluşturuyor.
Bu özgürlüğün bir bedeli var: Hiç kimse tarafından aktif olarak gözlemlenmediği bir n8n Sunucusu, bireysel İş Akışları ne kadar iyi tasarlanırsa tasarlansın, kendi başına bir risiko haline gelir. Birçok işletme n8n'i bir kez kurar ve bunu daha sonra sürüm durumlarına veya Güvenlik Bültenleri'ne süregelen bakış olmadan tamamlanmış bir araç gibi ele alırlar. Tam da bu, Kontrol ile İhmal arasındaki farktır.
Müşterilerimiz için, kimin n8n Örneklerini yönetiyorsunuz için, sabit bir Yama Penceresi, devam eden işletimin bir parçası, sonraki başlık sonrasında bir Ad-hoc tepki değil. CVE-2025-68613 bilinir hale geldikten sonra, yönetilen örneklerde önce sürüm durumlarını kontrol ettik ve etkilenen sistemleri zamanında güncelledik, bunun dışında formul tabanlı İş Akışlarına olağandışı erişim konusunda bir göz attık.
Buna küçük Yönetişim de dahil: Kim İş Akışlarını oluşturabilir veya değiştirebilir, hangi Düğümler kodu yürütebilir veya dosyaları kabul edebilir ve dış erişim nereye ihtiyaç duyuyor kendi Kimlik Doğrulaması ile VPN veya Reverse-Proxy. Bizim yapay zeka (YZ) Danışmanlığı bu ek bir bölüm değil, üretken giden her Otomasyon'un sabit bir parçasıdır.
Beş Adım, çoğu Kurulumda bir Gün içinde uygulanabilir:
Bu Noktaları bugün kontrol eden kişi, şu anda bilinen kritik Açıkları kapatıyor. Konu bununla sonsuza kadar çözülmüyor, çünkü Tehdit Yönetimi çok hızlı değişiyor, ancak Örnek artık 2026'da bilinen Saldırı Yollarına karşı savunmasız değil.
n8n Bulut, n8n tarafından kendisi tarafından sürekli güncellenmiştir, belirtilen CVE'ler pratikte özellikle yamalanmış Sürümlere zamanında getirilmemiş olan kendi kendine barındırılan Örnekleri etkiler.
Sürüm Numarasını n8n Ayarlarında veya Örneğin Altbilgisinde bulabilirsiniz. Bunu, resmi n8n Topluluğu Güvenlik Bültenleri'nden ile Yama Durumlarına karşı kontrol edin, n8n burada her Açığı etkilenen ve yamalanmış Sürümler ile ayrı ayrı listeler.
Erişimi geçici olarak VPN veya IP-Beyaz Listeye kısıtlayın, genel olarak erişilebilir Form İş Akışlarını devre dışı bırakın ve Erişim Günlüklerini her zamankinden daha yakından gözlemleyin. Bu bir Güncellemeleri değiştirir, ancak bilinen bir Açığın istismar edilebilir kaldığı Zaman Penceresi'ni azaltır.
Evet. Mevcut n8n Kurulumlarının Sürüm Durumunu, Yama Tarihçesi ve Erişim Korumasını kontrol ederiz ve talep üzerine devam eden Yama Yönetimi'ni üstleniriz, böylece Otomasyonunuzun Kontrolünü her Güvenlik Bildirimini kendiniz takip etmek zorunda kalmadan korursunuz.
NordFlux, kuruluşlar için dijital çalışanlar kurar: tekrar eden işleri üstlenen otomasyonlar ve KI ajanları. Kontrol sizde kalır.
n8n GDPR'a uygun şekilde çalışabilir, ancak otomatik olarak uyumlu değildir. Cloud ile self-hosting'i birbirinden ayıran nedir ve iş akışları verileri nerede kaybeder.
Kısa bir teknik envanter kontrolünde n8n sürümünüzü, Yama Yönetiminizi ve dış güvenliğinizi kontrol ederiz, böylece verilerinize ilişkin kontrolü güvenlik açısından da korursunuz.