Уязвимост CVE-2025-68668 n8n
Изследователи по киберсигурност разкриха нова сериозна уязвимост в n8n, популярната платформа с отворен код за автоматизация на работни процеси. Пропускът може да позволи на удостоверен хакер да изпълнява произволни команди на операционната система на базовия сървър, което потенциално може да доведе до пълно компрометиране на системата.
Проблемът е проследен като CVE-2025-68668 и носи CVSS оценка от 9.9, което го поставя категорично в категорията „критична тежест“. Класифициран е като повреда на защитен механизъм.
Съдържание
Кой е изложен на риск и защо това е важно
Тази уязвимост засяга версии на n8n от 1.0.0 до (но не включително) 2.0.0. Всеки удостоверен потребител, който има разрешение да създава или променя работни потоци, може да използва уязвимостта, за да изпълнява команди на системно ниво със същите привилегии като процеса n8n.
Слабостта произтича от заобикаляне на пясъчник (sandbox) в Python Code Node, който разчита на Pyodide. Чрез злоупотреба с този компонент, атакуващият може да избегне предвидената среда за изпълнение и да взаимодейства директно с хост операционната система.
Проблемът е напълно отстранен в n8n версия 2.0.0.
Техническа разбивка: Python Sandbox Escape
Според официалното съобщение, контролите за пясъчник на Python Code Node са били недостатъчни, което е позволило на атакуващите да заобикалят ограниченията и да задействат изпълнението на произволни команди. Това драстично увеличава рисковия профил на засегнатите системи, особено в среди, където множество потребители могат да проектират или редактират работни потоци.
Подобрения в сигурността и дългосрочно решение на n8n
В отговор на по-широки опасения относно пясъчната кутия, n8n въведе базиран на изпълняващи задачи нативен модел за изпълнение на Python във версия 1.111.0 като опционална, по-сигурно изолирана функция. Този модел може да бъде активиран с помощта на променливите на средата N8N_RUNNERS_ENABLED и N8N_NATIVE_PYTHON_RUNNER.
С пускането на версия 2.0.0, тази по-безопасна имплементация вече е активирана по подразбиране, което ефективно премахва уязвимостта.
Препоръчителни смекчаващи мерки за системи без корекции
Докато не стане възможно надграждането до версия 2.0.0, n8n съветва да се прилагат следните временни предпазни мерки:
Деактивирайте изцяло кодовия възел, като зададете :
NODES_ECCLUDE: ['n8n-nodes-base.code']
Изключете поддръжката на Python в Code Node, като зададете :
N8N_PYTHON_ENABLED=невярно
Принудително използване на базираната на task runner Python sandbox чрез :
N8N_RUNNERS_ENABLED и N8N_NATIVE_PYTHON_RUNNER
Тези стъпки значително намаляват риска от излизане от пясъчник и изпълнение на команди.
Част от обезпокоителна тенденция
Това разкритие следва непосредствено след друга критична уязвимост в n8n, CVE-2025-68613 (също оценена с 9.9 CVSS), която също може да доведе до изпълнение на произволен код при определени условия. Заедно тези проблеми подчертават спешната необходимост администраторите да приоритизират надстройките и да ограничат разрешенията за работния процес.
