CVE-2025-68668 n8n sebezhetőség
Kiberbiztonsági kutatók egy súlyos új sebezhetőséget tártak fel az n8n-ben, a népszerű, nyílt forráskódú munkafolyamat-automatizáló platformban. A hiba lehetővé teheti a hitelesített támadók számára, hogy tetszőleges operációsrendszer-parancsokat futtassanak az alapul szolgáló szerveren, ami potenciálisan a teljes rendszer kompromittálásához vezethet.
A probléma CVE-2025-68668 néven van nyilvántartva, és 9,9-es CVSS-pontszámmal rendelkezik, amivel határozottan a kritikus súlyossági kategóriába sorolják. Védelmi mechanizmus hibájaként lett besorolva.
Tartalomjegyzék
Ki van veszélyben, és miért fontos ez?
Ez a sebezhetőség az n8n 1.0.0-s verziójáig (de nem beleértve) érinti. Bármely hitelesített felhasználó, aki jogosult munkafolyamatok létrehozására vagy módosítására, kihasználhatja a hibát rendszerszintű parancsok végrehajtására ugyanazokkal a jogosultságokkal, mint az n8n folyamat.
A gyengeség a Python kódcsomópont egy sandbox bypass nevű, Pyodide-ra támaszkodó komponenséből ered. A komponens visszaélésével a támadó kiléphet a kívánt végrehajtási környezetből, és közvetlenül kapcsolatba léphet a gazdagép operációs rendszerével.
A problémát teljes mértékben javították az n8n 2.0.0 verziójában.
Technikai lebontás: Python Sandbox Escape
A hivatalos tanács szerint a Python Code Node sandboxing vezérlői nem voltak elegendőek, lehetővé téve a támadók számára a korlátozások megkerülését és tetszőleges parancsvégrehajtás kiváltását. Ez drámaian megnöveli az érintett rendszerek kockázati profilját, különösen olyan környezetekben, ahol több felhasználó is tervezhet vagy szerkeszthet munkafolyamatokat.
Az n8n biztonsági fejlesztései és hosszú távú javítása
A sandboxinggal kapcsolatos aggodalmakra válaszul az n8n az 1.111.0 verzióban bevezette a feladatfuttatón alapuló natív Python végrehajtási modellt opcionális, biztonságosabban elkülönített funkcióként. Ez a modell az N8N_RUNNERS_ENABLED és az N8N_NATIVE_PYTHON_RUNNER környezeti változók használatával engedélyezhető.
A 2.0.0-s verzió megjelenésével ez a biztonságosabb implementáció mostantól alapértelmezés szerint engedélyezve van, így a sebezhetőség gyakorlatilag megszűnt.
Ajánlott enyhítések nem frissített rendszerekhez
Amíg a 2.0.0 verzióra való frissítés lehetséges, az n8n a következő ideiglenes óvintézkedések alkalmazását javasolja:
A kódcsomópont teljes letiltása a következő beállítással :
NODES_EXCLUDE: ['n8n-nodes-base.code']
Kapcsold ki a Python támogatást a Code Node-ban a következő beállítással :
N8N_PYTHON_ENABLED=hamis
A feladatfuttató-alapú Python sandbox használatának kikényszerítése a következőn keresztül :
N8N_RUNNERS_ENABLED és N8N_NATIVE_PYTHON_RUNNER
Ezek a lépések jelentősen csökkentik a sandboxból való kiszökés és a parancsok végrehajtásának kockázatát.
Egy aggasztó trend része
Ez a közzététel egy másik kritikus n8n sebezhetőség, a CVE-2025-68613 (szintén 9.9 CVSS besorolású) után történt, amely bizonyos körülmények között szintén tetszőleges kódfuttatáshoz vezethet. Ezek a problémák együttesen rávilágítanak arra, hogy a rendszergazdáknak sürgősen rangsorolniuk kell a frissítéseket és korlátozniuk kell a munkafolyamat-engedélyeket.
