Zranitelnost CVE-2025-68668 n8n
Výzkumníci v oblasti kybernetické bezpečnosti odhalili novou závažnou zranitelnost v n8n, populární platformě s otevřeným zdrojovým kódem pro automatizaci pracovních postupů. Chyba by mohla ověřenému útočníkovi umožnit spouštět libovolné příkazy operačního systému na podkladovém serveru, což by mohlo vést k úplnému ohrožení systému.
Problém je sledován jako CVE-2025-68668 a má skóre CVSS 9,9, což jej řadí pevně do kategorie kritické závažnosti. Byl klasifikován jako selhání ochranného mechanismu.
Obsah
Kdo je v ohrožení a proč je to důležité
Tato zranitelnost se týká verzí n8n od 1.0.0 až do (ale ne včetně) 2.0.0. Jakýkoli ověřený uživatel s oprávněním k vytváření nebo úpravě pracovních postupů by mohl tuto chybu zneužít ke spouštění příkazů na úrovni systému se stejnými oprávněními jako proces n8n.
Slabost pramení z obcházení sandboxu v uzlu Python Code Node, který se spoléhá na Pyodide. Zneužitím této komponenty může útočník uniknout zamýšlenému prostředí pro spuštění a přímo interagovat s hostitelským operačním systémem.
Problém byl plně opraven v n8n verze 2.0.0.
Technický rozbor: Python Sandbox Escape
Podle oficiálního upozornění byly ovládací prvky sandboxu Python Code Node nedostatečné, což útočníkům umožňovalo obcházet omezení a spouštět libovolné příkazy. To dramaticky zvyšuje rizikový profil postižených systémů, zejména v prostředích, kde může více uživatelů navrhovat nebo upravovat pracovní postupy.
Vylepšení zabezpečení a dlouhodobá oprava od n8n
V reakci na širší obavy ohledně sandboxu zavedl n8n ve verzi 1.111.0 nativní model spouštění Pythonu založený na běhačích úloh jako volitelnou a bezpečněji izolovanou funkci. Tento model lze povolit pomocí proměnných prostředí N8N_RUNNERS_ENABLED a N8N_NATIVE_PYTHON_RUNNER.
S vydáním verze 2.0.0 je tato bezpečnější implementace nyní ve výchozím nastavení povolena, čímž se zranitelnost efektivně uzavírá.
Doporučená zmírnění pro neopravené systémy
Dokud nebude možný upgrade na verzi 2.0.0, n8n doporučuje dodržovat následující dočasná ochranná opatření:
Kódový uzel zcela deaktivujte nastavením :
NODES_EXCLUDE: ['n8n-nodes-base.code']
Vypněte podporu Pythonu v uzlu kódu nastavením :
N8N_PYTHON_ENABLED=false
Vynutit použití sandboxu Pythonu založeného na běhačce úloh pomocí :
N8N_RUNNERS_ENABLED a N8N_NATIVE_PYTHON_RUNNER
Tyto kroky výrazně snižují riziko úniku z sandboxu a spuštění příkazů.
Součást znepokojivého trendu
Toto odhalení těsně navazuje na další kritickou zranitelnost n8n, CVE-2025-68613 (rovněž s hodnocením 9,9 CVSS), která by za určitých podmínek mohla vést k libovolnému spuštění kódu. Tyto problémy dohromady zdůrazňují naléhavou potřebu, aby administrátoři upřednostňovali aktualizace a omezovali oprávnění pracovních postupů.
