آسیب‌پذیری n8n با شناسه CVE-2025-68668

محققان امنیت سایبری یک آسیب‌پذیری جدید و شدید در n8n، پلتفرم محبوب اتوماسیون گردش کار متن‌باز، را افشا کرده‌اند. این نقص می‌تواند به یک مهاجم احراز هویت‌شده اجازه دهد تا دستورات دلخواه سیستم‌عامل را روی سرور اصلی اجرا کند و به‌طور بالقوه منجر به در معرض خطر قرار گرفتن کامل سیستم شود.

این مشکل با شناسه CVE-2025-68668 ردیابی می‌شود و امتیاز CVSS آن 9.9 است که آن را در دسته آسیب‌پذیری‌های بحرانی قرار می‌دهد. این مشکل به عنوان یک نقص در سازوکار حفاظتی طبقه‌بندی شده است.

چه کسی در معرض خطر است و چرا اهمیت دارد؟

این آسیب‌پذیری، نسخه‌های ۱.۰.۰ تا ۲.۰.۰ (اما نه شامل) n8n را تحت تأثیر قرار می‌دهد. هر کاربر احراز هویت‌شده‌ای که مجوز ایجاد یا تغییر گردش‌های کاری را داشته باشد، می‌تواند از این نقص برای اجرای دستورات سطح سیستم با همان امتیازات فرآیند n8n سوءاستفاده کند.

این ضعف ناشی از یک دور زدن sandbox در Python Code Node است که به Pyodide متکی است. با سوءاستفاده از این مؤلفه، یک مهاجم می‌تواند از محیط اجرای مورد نظر فرار کند و مستقیماً با سیستم‌عامل میزبان تعامل داشته باشد.

این مشکل در نسخه ۲.۰.۰ نرم‌افزار n8n به‌طور کامل برطرف شده است.

خرابی فنی: فرار از گودال ماسهبازی پایتون

طبق گزارش رسمی، کنترل‌های sandboxing در Python Code Node کافی نبود و به مهاجمان اجازه می‌داد تا محدودیت‌ها را دور بزنند و دستور دلخواه خود را اجرا کنند. این امر به طور چشمگیری خطر سیستم‌های آسیب‌دیده را افزایش می‌دهد، به خصوص در محیط‌هایی که چندین کاربر می‌توانند گردش‌های کاری را طراحی یا ویرایش کنند.

بهبودهای امنیتی و رفع مشکلات بلندمدت n8n

در پاسخ به نگرانی‌های گسترده‌تر در مورد سندباکسینگ، n8n در نسخه ۱.۱۱۱.۰ یک مدل اجرای پایتون بومی مبتنی بر اجراکننده وظایف را به عنوان یک ویژگی اختیاری و ایمن‌تر ایزوله معرفی کرد. این مدل را می‌توان با استفاده از متغیرهای محیطی N8N_RUNNERS_ENABLED و N8N_NATIVE_PYTHON_RUNNER فعال کرد.

با انتشار نسخه ۲.۰.۰، این پیاده‌سازی امن‌تر اکنون به‌طور پیش‌فرض فعال شده است و به‌طور مؤثری آسیب‌پذیری را از بین می‌برد.

راهکارهای پیشنهادی برای سیستم‌های پچ نشده

تا زمانی که ارتقا به نسخه ۲.۰.۰ امکان‌پذیر باشد، n8n توصیه می‌کند اقدامات حفاظتی موقت زیر را اعمال کنید:

با تنظیم زیر، Code Node را به طور کامل غیرفعال کنید :
NODES_EXCLUDE: ['n8n-nodes-base.code']

با تنظیم موارد زیر، پشتیبانی پایتون را در Code Node غیرفعال کنید :
N8N_PYTHON_ENABLED=نادرست

استفاده اجباری از sandbox پایتون مبتنی بر task runner از طریق :
N8N_RUNNERS_ENABLED و N8N_NATIVE_PYTHON_RUNNER

این مراحل به طور قابل توجهی خطر فرار از سندباکس و اجرای دستورات را کاهش می‌دهد.

بخشی از یک روند نگران‌کننده

این افشاگری به دنبال افشای یک آسیب‌پذیری حیاتی دیگر n8n با شناسه CVE-2025-68613 (با امتیاز CVSS 9.9) رخ داده است که آن نیز می‌تواند تحت شرایط خاص منجر به اجرای کد دلخواه شود. این مسائل در کنار هم، نیاز فوری مدیران به اولویت‌بندی ارتقاها و محدود کردن مجوزهای گردش کار را برجسته می‌کند.