Ranjivost CVE-2025-68668 n8n
Istraživači kibernetičke sigurnosti otkrili su ozbiljnu novu ranjivost u n8n-u, popularnoj platformi za automatizaciju radnog procesa otvorenog koda. Propust bi mogao omogućiti autentificiranom napadaču pokretanje proizvoljnih naredbi operativnog sustava na temeljnom poslužitelju, što potencijalno može dovesti do potpunog kompromitiranja sustava.
Problem se prati kao CVE-2025-68668 i ima CVSS ocjenu 9,9, što ga čvrsto svrstava u kategoriju kritične ozbiljnosti. Klasificiran je kao kvar zaštitnog mehanizma.
Sadržaj
Tko je u opasnosti i zašto je to važno
Ova ranjivost utječe na verzije n8n-a od 1.0.0 do (ali ne uključujući) 2.0.0. Bilo koji autentificirani korisnik koji ima dopuštenje za stvaranje ili izmjenu tijeka rada mogao bi iskoristiti ranjivost za izvršavanje naredbi na razini sustava s istim privilegijama kao i n8n proces.
Slabost proizlazi iz zaobilaženja sandboxa u Python Code Nodeu koji se oslanja na Pyodide. Zloupotrebom ove komponente, napadač može pobjeći iz namjeravanog okruženja za izvršavanje i izravno komunicirati s glavnim operativnim sustavom.
Problem je u potpunosti ispravljen u n8n verziji 2.0.0.
Tehnički pregled: Python Sandbox Escape
Prema službenom savjetovanju, kontrole sandboxa Python Code Nodea bile su nedovoljne, što je napadačima omogućilo zaobilaženje ograničenja i pokretanje proizvoljnog izvršavanja naredbi. To dramatično povećava profil rizika pogođenih sustava, posebno u okruženjima u kojima više korisnika može dizajnirati ili uređivati tijekove rada.
n8n-ova sigurnosna poboljšanja i dugoročno rješenje
Kao odgovor na šire probleme s izdržljivim okruženjem (sandboxing), n8n je u verziji 1.111.0 uveo izvorni model izvršavanja Pythona temeljen na izvršavaču zadataka kao opcionalnu, sigurnije izoliranu značajku. Ovaj model može se omogućiti pomoću varijabli okruženja N8N_RUNNERS_ENABLED i N8N_NATIVE_PYTHON_RUNNER.
S izdavanjem verzije 2.0.0, ova sigurnija implementacija sada je omogućena prema zadanim postavkama, čime se ranjivost učinkovito zatvara.
Preporučene mjere ublažavanja za nezakrpljene sustave
Dok nadogradnja na verziju 2.0.0 ne bude moguća, n8n preporučuje primjenu sljedećih privremenih zaštitnih mjera:
Potpuno onemogućite čvor koda postavljanjem :
ISKLJUČIVANJE_ČVOROVA: ['n8n-nodes-base.code']
Isključite podršku za Python u čvoru koda postavljanjem :
N8N_PYTHON_ENABLED=false
Prisilno korištenje Python sandboxa temeljenog na izvršavaču zadataka putem :
N8N_RUNNERS_ENABLED i N8N_NATIVE_PYTHON_RUNNER
Ovi koraci značajno smanjuju rizik od izlaza iz sandboxa i izvršavanja naredbi.
Dio zabrinjavajućeg trenda
Ovo otkriće slijedi odmah nakon još jedne kritične ranjivosti n8n-a, CVE-2025-68613 (također ocijenjene s 9.9 CVSS), koja bi također mogla dovesti do proizvoljnog izvršavanja koda pod određenim uvjetima. Zajedno, ovi problemi ističu hitnu potrebu da administratori daju prioritet nadogradnjama i ograniče dozvole za tijek rada.
