CVE-2025-68668 n8n 취약점

사이버 보안 연구원들이 인기 있는 오픈 소스 워크플로 자동화 플랫폼인 n8n에서 심각한 새 취약점을 발견했습니다. 이 결함으로 인해 인증된 공격자가 해당 서버에서 임의의 운영 체제 명령을 실행할 수 있으며, 잠재적으로 시스템 전체를 장악할 수 있습니다.

해당 문제는 CVE-2025-68668로 추적되며, CVSS 점수는 9.9로 매우 심각한 수준에 속합니다. 이는 보호 메커니즘 오류로 분류됩니다.

누가 위험에 처해 있으며 왜 중요한가?

이 취약점은 n8n 버전 1.0.0부터 2.0.0(2.0.0 제외)까지 영향을 미칩니다. 워크플로를 생성하거나 수정할 권한이 있는 인증된 사용자는 이 취약점을 악용하여 n8n 프로세스와 동일한 권한으로 시스템 수준 명령을 실행할 수 있습니다.

이 취약점은 Pyodide를 사용하는 Python 코드 노드의 샌드박스 우회에서 비롯됩니다. 공격자는 이 구성 요소를 악용하여 의도된 실행 환경을 벗어나 호스트 운영 체제와 직접 상호 작용할 수 있습니다.

해당 문제는 n8n 버전 2.0.0에서 완전히 해결되었습니다.

기술적 분석: 파이썬 샌드박스 탈출

공식 권고에 따르면, 파이썬 코드 노드의 샌드박싱 제어가 불충분하여 공격자가 제한을 우회하고 임의 명령 실행을 유발할 수 있었습니다. 이는 특히 여러 사용자가 워크플로를 설계하거나 편집할 수 있는 환경에서 해당 시스템의 위험도를 크게 증가시킵니다.

n8n의 보안 강화 및 장기적인 해결책

보다 광범위한 샌드박싱 문제에 대응하여 n8n은 버전 1.111.0에서 선택적이고 더욱 안전하게 격리된 기능으로 태스크 러너 기반의 네이티브 Python 실행 모델을 도입했습니다. 이 모델은 N8N_RUNNERS_ENABLED 및 N8N_NATIVE_PYTHON_RUNNER 환경 변수를 사용하여 활성화할 수 있습니다.

버전 2.0.0 출시와 함께 이러한 더욱 안전한 구현 방식이 기본적으로 활성화되어 취약점이 효과적으로 해결되었습니다.

패치가 적용되지 않은 시스템에 대한 권장 완화 조치

버전 2.0.0으로 업그레이드가 가능해질 때까지 n8n은 다음과 같은 임시 보호 조치를 적용할 것을 권장합니다.

다음 설정을 통해 코드 노드를 완전히 비활성화하세요 .
제외할 노드: ['n8n-nodes-base.code']

코드 노드에서 Python 지원을 끄려면 다음 설정을 하세요 .
N8N_PYTHON_ENABLED=false

태스크 러너 기반 Python 샌드박스 사용을 강제하려면 다음을 수행하십시오 .
N8N_RUNNERS_ENABLED 및 N8N_NATIVE_PYTHON_RUNNER

이러한 조치는 샌드박스 탈출 및 명령 실행 위험을 크게 줄여줍니다.

우려스러운 추세의 일부

이번 공개는 또 다른 심각한 n8n 취약점인 CVE-2025-68613(역시 CVSS 등급 9.9)이 발표된 직후에 이루어졌으며, 이 취약점 역시 특정 조건에서 임의 코드 실행으로 이어질 수 있습니다. 이러한 문제들은 관리자들이 업그레이드 우선순위를 높이고 워크플로 권한을 제한해야 할 필요성을 시급히 보여줍니다.