CVE-2025-68668 n8n भेद्यता

साइबर सुरक्षा शोधकर्ताओं ने लोकप्रिय ओपन-सोर्स वर्कफ़्लो ऑटोमेशन प्लेटफ़ॉर्म n8n में एक गंभीर नई सुरक्षा खामी का खुलासा किया है। इस खामी के कारण प्रमाणित हमलावर अंतर्निहित सर्वर पर ऑपरेटिंग सिस्टम के मनमाने कमांड चला सकता है, जिससे संभावित रूप से पूरे सिस्टम को हैक किया जा सकता है।

इस समस्या को CVE-2025-68668 के रूप में चिह्नित किया गया है और इसका CVSS स्कोर 9.9 है, जो इसे गंभीर श्रेणी में रखता है। इसे सुरक्षा तंत्र की विफलता के रूप में वर्गीकृत किया गया है।

किसे खतरा है और यह क्यों मायने रखता है?

यह भेद्यता n8n संस्करण 1.0.0 से लेकर (लेकिन संस्करण 2.0.0 को छोड़कर) 2.0.0 तक के संस्करणों को प्रभावित करती है। कोई भी प्रमाणित उपयोगकर्ता जिसके पास वर्कफ़्लो बनाने या संशोधित करने की अनुमति है, इस खामी का फायदा उठाकर n8n प्रक्रिया के समान विशेषाधिकारों के साथ सिस्टम-स्तरीय कमांड निष्पादित कर सकता है।

यह खामी पायथन कोड नोड में मौजूद सैंडबॉक्स बाईपास से उत्पन्न होती है, जो पायोडाइड पर निर्भर करता है। इस घटक का दुरुपयोग करके, हमलावर इच्छित निष्पादन वातावरण से बच सकता है और सीधे होस्ट ऑपरेटिंग सिस्टम के साथ इंटरैक्ट कर सकता है।

n8n संस्करण 2.0.0 में इस समस्या का पूरी तरह से समाधान कर दिया गया है।

तकनीकी विश्लेषण: पायथन सैंडबॉक्स से बाहर निकलना

आधिकारिक सलाह के अनुसार, पायथन कोड नोड के सैंडबॉक्सिंग नियंत्रण अपर्याप्त थे, जिससे हमलावरों को प्रतिबंधों को दरकिनार करने और मनमाने ढंग से कमांड निष्पादित करने में मदद मिली। इससे प्रभावित प्रणालियों का जोखिम काफी बढ़ जाता है, खासकर उन वातावरणों में जहां कई उपयोगकर्ता वर्कफ़्लो डिज़ाइन या संपादित कर सकते हैं।

n8n के सुरक्षा संबंधी सुधार और दीर्घकालिक समाधान

सैंडबॉक्सिंग संबंधी व्यापक चिंताओं के जवाब में, n8n ने संस्करण 1.111.0 में एक वैकल्पिक, अधिक सुरक्षित रूप से पृथक सुविधा के रूप में टास्क रनर-आधारित नेटिव पायथन निष्पादन मॉडल पेश किया। इस मॉडल को N8N_RUNNERS_ENABLED और N8N_NATIVE_PYTHON_RUNNER पर्यावरण चरों का उपयोग करके सक्षम किया जा सकता है।

संस्करण 2.0.0 के जारी होने के साथ, यह सुरक्षित कार्यान्वयन अब डिफ़ॉल्ट रूप से सक्षम हो गया है, जिससे यह भेद्यता प्रभावी रूप से दूर हो गई है।

अनपैच्ड सिस्टम के लिए अनुशंसित निवारण उपाय

जब तक संस्करण 2.0.0 में अपग्रेड करना संभव नहीं हो जाता, n8n निम्नलिखित अस्थायी सुरक्षा उपायों को लागू करने की सलाह देता है:

कोड नोड को पूरी तरह से निष्क्रिय करने के लिए निम्न सेटिंग का उपयोग करें :
नोड्स_एक्सक्लूड: ['n8n-nodes-base.code']

कोड नोड में पाइथन सपोर्ट को बंद करने के लिए निम्न सेटिंग का उपयोग करें :
N8N_PYTHON_ENABLED=false

टास्क रनर-आधारित पायथन सैंडबॉक्स का उपयोग अनिवार्य रूप से करें :
N8N_RUNNERS_ENABLED और N8N_NATIVE_PYTHON_RUNNER

इन चरणों से सैंडबॉक्स से बाहर निकलने और कमांड निष्पादन का जोखिम काफी हद तक कम हो जाता है।

एक चिंताजनक प्रवृत्ति का हिस्सा

यह खुलासा एक अन्य गंभीर n8n भेद्यता, CVE-2025-68613 (जिसे 9.9 CVSS रेटिंग भी दी गई है) के तुरंत बाद हुआ है, जो कुछ परिस्थितियों में आर्बिट्रेरी कोड निष्पादन का कारण बन सकती है। ये दोनों समस्याएं प्रशासकों के लिए अपग्रेड को प्राथमिकता देने और वर्कफ़्लो अनुमतियों को प्रतिबंधित करने की तत्काल आवश्यकता को उजागर करती हैं।