Vulnerabilitat n8n CVE-2025-68668
Investigadors de ciberseguretat han revelat una nova vulnerabilitat greu a n8n, la popular plataforma d'automatització de fluxos de treball de codi obert. La falla podria permetre a un atacant autenticat executar ordres arbitràries del sistema operatiu al servidor subjacent, cosa que podria conduir a un compromís total del sistema.
El problema està registrat com a CVE-2025-68668 i té una puntuació CVSS de 9,9, cosa que el situa fermament a la categoria de gravetat crítica. S'ha classificat com a fallada del mecanisme de protecció.
Taula de continguts
Qui està en risc i per què és important
Aquesta vulnerabilitat afecta les versions 1.0.0 de n8n fins a la 2.0.0 (excloent-hi). Qualsevol usuari autenticat que tingui permís per crear o modificar fluxos de treball podria explotar la falla per executar ordres a nivell de sistema amb els mateixos privilegis que el procés n8n.
La debilitat prové d'una desviació de la zona de proves al node de codi de Python que depèn de Pyodide. Si s'abusa d'aquest component, un atacant pot escapar de l'entorn d'execució previst i interactuar directament amb el sistema operatiu amfitrió.
El problema s'ha corregit completament a la versió 2.0.0 de n8n.
Desglossament tècnic: Escapada a la sandbox de Python
Segons l'avís oficial, els controls de sandboxing del node de codi de Python eren insuficients, cosa que permetia als atacants eludir les restriccions i activar l'execució arbitrària d'ordres. Això augmenta dràsticament el perfil de risc dels sistemes afectats, especialment en entorns on diversos usuaris poden dissenyar o editar fluxos de treball.
Millores de seguretat i correcció a llarg termini de n8n
En resposta a preocupacions més àmplies sobre el sandboxing, n8n va introduir un model d'execució natiu de Python basat en l'executor de tasques a la versió 1.111.0 com a característica opcional i aïllada de manera més segura. Aquest model es pot habilitar mitjançant les variables d'entorn N8N_RUNNERS_ENABLED i N8N_NATIVE_PYTHON_RUNNER.
Amb el llançament de la versió 2.0.0, aquesta implementació més segura ara està habilitada per defecte, tancant efectivament la vulnerabilitat.
Mitigacions recomanades per a sistemes sense pegats
Fins que sigui possible l'actualització a la versió 2.0.0, n8n recomana aplicar les següents mesures de seguretat temporals:
Desactiveu completament el node de codi configurant :
NODES_EXCLUDE: ['n8n-nodes-base.code']
Desactiveu la compatibilitat amb Python al node de codi configurant :
N8N_PYTHON_ENABLED=fals
Força l'ús de la zona de proves de Python basada en l'executor de tasques mitjançant :
N8N_RUNNERS_ENABLED i N8N_NATIVE_PYTHON_RUNNER
Aquests passos redueixen significativament el risc d'escapament de la sandbox i d'execució d'ordres.
Part d’una tendència preocupant
Aquesta divulgació arriba immediatament després d'una altra vulnerabilitat crítica de n8n, la CVE-2025-68613 (també qualificada amb un 9,9 CVSS), que també podria conduir a l'execució arbitrària de codi en determinades condicions. En conjunt, aquests problemes destaquen la necessitat urgent que els administradors prioritzin les actualitzacions i restringeixin els permisos del flux de treball.
