Vulnerabilità n8n CVE-2025-68668
I ricercatori di sicurezza informatica hanno scoperto una nuova grave vulnerabilità in n8n, la popolare piattaforma open source per l'automazione dei flussi di lavoro. La falla potrebbe consentire a un aggressore autenticato di eseguire comandi arbitrari del sistema operativo sul server sottostante, con il rischio di compromettere l'intero sistema.
Il problema è identificato come CVE-2025-68668 e ha un punteggio CVSS di 9,9, che lo colloca saldamente nella categoria di gravità critica. È stato classificato come un guasto del meccanismo di protezione.
Sommario
Chi è a rischio e perché è importante
Questa vulnerabilità interessa le versioni di n8n dalla 1.0.0 alla 2.0.0 (esclusa). Qualsiasi utente autenticato che abbia l'autorizzazione a creare o modificare flussi di lavoro potrebbe sfruttare la falla per eseguire comandi a livello di sistema con gli stessi privilegi del processo n8n.
La vulnerabilità deriva da un bypass sandbox nel Python Code Node che si basa su Pyodide. Abusando di questo componente, un aggressore può uscire dall'ambiente di esecuzione previsto e interagire direttamente con il sistema operativo host.
Il problema è stato completamente risolto nella versione 2.0.0 di n8n.
Analisi tecnica: Python Sandbox Escape
Secondo l'avviso ufficiale, i controlli sandbox del Python Code Node erano insufficienti, consentendo agli aggressori di aggirare le restrizioni e attivare l'esecuzione di comandi arbitrari. Ciò aumenta drasticamente il profilo di rischio dei sistemi interessati, soprattutto in ambienti in cui più utenti possono progettare o modificare flussi di lavoro.
Miglioramenti della sicurezza e soluzioni a lungo termine di n8n
In risposta alle più ampie preoccupazioni relative al sandboxing, n8n ha introdotto un modello di esecuzione Python nativo basato su task runner nella versione 1.111.0 come funzionalità opzionale e più sicura. Questo modello può essere abilitato utilizzando le variabili d'ambiente N8N_RUNNERS_ENABLED e N8N_NATIVE_PYTHON_RUNNER.
Con il rilascio della versione 2.0.0, questa implementazione più sicura è ora abilitata per impostazione predefinita, chiudendo di fatto la vulnerabilità.
Mitigazioni consigliate per sistemi non patchati
Finché non sarà possibile effettuare l'aggiornamento alla versione 2.0.0, n8n consiglia di applicare le seguenti misure di sicurezza temporanee:
Disattivare completamente il nodo codice impostando :
NODES_EXCLUDE: ['n8n-nodes-base.code']
Disattiva il supporto Python nel Code Node impostando :
N8N_PYTHON_ENABLED=falso
Forza l'uso del sandbox Python basato su task runner tramite :
N8N_RUNNERS_ENABLED e N8N_NATIVE_PYTHON_RUNNER
Questi passaggi riducono significativamente il rischio di fuga dalla sandbox e di esecuzione dei comandi.
Parte di una tendenza preoccupante
Questa divulgazione segue da vicino un'altra vulnerabilità critica n8n, CVE-2025-68613 (anch'essa classificata 9.9 CVSS), che potrebbe anch'essa portare all'esecuzione di codice arbitrario in determinate condizioni. Insieme, queste problematiche evidenziano l'urgente necessità per gli amministratori di dare priorità agli aggiornamenti e limitare le autorizzazioni del flusso di lavoro.
