CVE-2025-68668 n8n-haavoittuvuus
Kyberturvallisuustutkijat ovat paljastaneet vakavan uuden haavoittuvuuden suositussa avoimen lähdekoodin työnkulun automaatioalustassa n8n. Haavoittuvuus voi antaa todennetulle hyökkääjälle mahdollisuuden suorittaa mielivaltaisia käyttöjärjestelmäkomentoja alla olevalla palvelimella, mikä voi johtaa koko järjestelmän vaarantumiseen.
Ongelman tunnistenumero on CVE-2025-68668, ja sen CVSS-pistemäärä on 9,9, mikä sijoittaa sen vankasti kriittiseen vakavuusluokkaan. Se on luokiteltu suojausmekanismin viaksi.
Sisällysluettelo
Kuka on vaarassa ja miksi sillä on merkitystä
Tämä haavoittuvuus vaikuttaa n8n-versioihin 1.0.0–2.0.0 (mutta ei versioon 2.0.0). Kuka tahansa todennettu käyttäjä, jolla on oikeudet luoda tai muokata työnkulkuja, voi hyödyntää haavoittuvuutta suorittaakseen järjestelmätason komentoja samoilla oikeuksilla kuin n8n-prosessi.
Heikkous johtuu Python-koodisolmun hiekkalaatikon ohituksesta, joka on riippuvainen Pyodide-komponentista. Käyttämällä tätä komponenttia väärin hyökkääjä voi paeta aiotusta suoritusympäristöstä ja olla suoraan vuorovaikutuksessa isäntäkäyttöjärjestelmän kanssa.
Ongelma on täysin korjattu n8n-versiossa 2.0.0.
Tekninen erittely: Python Sandbox Escape
Virallisen tiedotteen mukaan Python Code Noden hiekkalaatikko-ominaisuudet olivat riittämättömiä, minkä ansiosta hyökkääjät pystyivät ohittamaan rajoituksia ja laukaisemaan mielivaltaisia komentojen suorituksia. Tämä lisää dramaattisesti kyseisten järjestelmien riskiprofiilia, erityisesti ympäristöissä, joissa useat käyttäjät voivat suunnitella tai muokata työnkulkuja.
n8n:n tietoturvaparannukset ja pitkän aikavälin korjaus
Vastauksena laajempiin hiekkalaatikko-ongelmiin n8n esitteli versiossa 1.111.0 valinnaisena, turvallisemmin eristetyn ominaisuutena tehtävien suorittamiseen perustuvan natiivin Pythonin suoritusmallin. Tämä malli voidaan ottaa käyttöön käyttämällä N8N_RUNNERS_ENABLED- ja N8N_NATIVE_PYTHON_RUNNER-ympäristömuuttujia.
Version 2.0.0 julkaisun myötä tämä turvallisempi toteutus on nyt oletusarvoisesti käytössä, mikä tehokkaasti sulkee haavoittuvuuden.
Suositellut lievennykset järjestelmille, joita ei ole korjattu
Siihen asti, kunnes päivitys versioon 2.0.0 on mahdollista, n8n suosittelee seuraavien väliaikaisten suojatoimien soveltamista:
Poista koodisolmu kokonaan käytöstä asettamalla :
NODES_EXCLUDE: ['n8n-nodes-base.code']
Poista Python-tuki käytöstä koodisolmussa asettamalla seuraava :
N8N_PYTHON_ENABLED=false
Pakota tehtävien suorittamiseen perustuvan Python-hiekkalaatikon käyttö seuraavalla tavalla :
N8N_RUNNERS_ENABLED ja N8N_NATIVE_PYTHON_RUNNER
Nämä vaiheet vähentävät merkittävästi hiekkalaatikosta karkaamisen ja komentojen suorittamisen riskiä.
Osa huolestuttavaa trendiä
Tämä paljastus seuraa pian toista kriittistä n8n-haavoittuvuutta, CVE-2025-68613 (myös CVSS-luokitus 9.9), joka voi niin ikään johtaa mielivaltaisen koodin suorittamiseen tietyissä olosuhteissa. Yhdessä nämä ongelmat korostavat kiireellistä tarvetta, että järjestelmänvalvojat priorisoivat päivityksiä ja rajoittavat työnkulun käyttöoikeuksia.
