CVE-2025-68668 n8n haavatavus
Küberturvalisuse uurijad on avalikustanud populaarse avatud lähtekoodiga töövoogude automatiseerimise platvormi n8n uue tõsise haavatavuse. See viga võib võimaldada autentitud ründajal käivitada serveris suvalisi operatsioonisüsteemi käske, mis võib viia kogu süsteemi ohtu sattumiseni.
Probleem on registreeritud kui CVE-2025-68668 ja selle CVSS-skoor on 9,9, mis asetab selle kindlalt kriitilise raskusastmega kategooriasse. See on liigitatud kaitsemehhanismi rikkeks.
Sisukord
Kes on ohus ja miks see on oluline
See haavatavus mõjutab n8n versioone 1.0.0 kuni (kuid mitte kaasa arvatud) 2.0.0. Iga autentitud kasutaja, kellel on õigus töövooge luua või muuta, saab seda viga ära kasutada süsteemitaseme käskude käivitamiseks samade õigustega nagu n8n protsessil.
Nõrkus tuleneb Pythoni koodisõlme liivakasti möödaviigust, mis tugineb Pyodide'ile. Selle komponendi kuritarvitamise abil saab ründaja kavandatud täitmiskeskkonnast põgeneda ja suhelda otse host-operatsioonisüsteemiga.
Probleem on n8n versioonis 2.0.0 täielikult parandatud.
Tehniline jaotus: Pythoni liivakasti põgenemine
Ametliku teate kohaselt olid Pythoni koodisõlme liivakastikontrollid ebapiisavad, võimaldades ründajatel piirangutest mööda hiilida ja suvalisi käske käivitada. See suurendab oluliselt mõjutatud süsteemide riskiprofiili, eriti keskkondades, kus mitu kasutajat saavad töövooge kujundada või muuta.
n8n turvatäiustused ja pikaajaline lahendus
Vastuseks laiematele liivakastitehnoloogiaga seotud probleemidele tutvustas n8n versioonis 1.111.0 valikulise ja turvalisemalt isoleeritud funktsioonina ülesannete käivitajal põhinevat natiivset Pythoni täitmismudelit. Selle mudeli saab lubada keskkonnamuutujate N8N_RUNNERS_ENABLED ja N8N_NATIVE_PYTHON_RUNNER abil.
Versiooni 2.0.0 väljaandmisega on see turvalisem rakendus nüüd vaikimisi lubatud, mis sulgeb haavatavuse.
Soovitatavad leevendusmeetmed parandamata süsteemidele
Kuni versioonile 2.0.0 uuendamine on võimalik, soovitab n8n rakendada järgmisi ajutisi kaitsemeetmeid:
Keelake koodisõlm täielikult, määrates :
NODES_EXCLUDE: ['n8n-nodes-base.code']
Lülitage Pythoni tugi koodisõlmes välja, määrates järgmise :
N8N_PYTHON_ENABLED=väär
Sunni ülesannete käivitajal põhineva Pythoni liivakasti kasutamine järgmiselt :
N8N_RUNNERS_ENABLED ja N8N_NATIVE_PYTHON_RUNNER
Need sammud vähendavad oluliselt liivakastist väljapääsu ja käskude täitmise ohtu.
Osa murettekitavast trendist
See avalikustamine järgneb vahetult teisele kriitilisele n8n haavatavusele, CVE-2025-68613 (samuti hinnatud 9.9 CVSS-iga), mis võib teatud tingimustel samuti viia suvalise koodi käivitamiseni. Need probleemid rõhutavad administraatorite pakilist vajadust seada uuendused tähtsuse järjekorda ja piirata töövoo õigusi.
