CVE-2025-68668 n8n pažeidžiamumas
Kibernetinio saugumo tyrėjai atskleidė naują rimtą pažeidžiamumą populiarioje atvirojo kodo darbo eigų automatizavimo platformoje „n8n“. Dėl šios spragos autentifikuotas užpuolikas gali vykdyti savavališkas operacinės sistemos komandas pagrindiniame serveryje, o tai gali sukelti visišką sistemos užpuolimą.
Problema identifikuojama kaip CVE-2025-68668 ir jos CVSS įvertinimas yra 9,9, todėl ji neabejotinai patenka į kritinio sunkumo kategoriją. Ji klasifikuojama kaip apsaugos mechanizmo gedimas.
Turinys
Kam gresia pavojus ir kodėl tai svarbu
Šis pažeidžiamumas paveikia „n8n“ 1.0.0–2.0.0 versijas (bet neįskaitant). Bet kuris patvirtintas vartotojas, turintis leidimą kurti arba modifikuoti darbo eigas, gali pasinaudoti šiuo trūkumu ir vykdyti sistemos lygio komandas su tomis pačiomis teisėmis kaip ir „n8n“ procesas.
Silpnoji vieta kyla dėl „smėlio dėžės apėjimo“ „Python“ kodo mazge, kuris remiasi „Pyodide“. Piktnaudžiaudamas šiuo komponentu, užpuolikas gali išvengti numatytos vykdymo aplinkos ir tiesiogiai sąveikauti su pagrindine operacine sistema.
Problema buvo visiškai ištaisyta „n8n“ 2.0.0 versijoje.
Techninis suskirstymas: „Python Sandbox Escape“
Oficialiame pranešime teigiama, kad „Python Code Node“ smėlio dėžės valdymo elementai buvo nepakankami, todėl užpuolikai galėjo apeiti apribojimus ir paleisti savavališką komandų vykdymą. Tai smarkiai padidina paveiktų sistemų rizikos profilį, ypač aplinkose, kuriose keli vartotojai gali kurti ar redaguoti darbo eigas.
„n8n“ saugumo patobulinimai ir ilgalaikis sprendimas
Reaguodama į platesnį susirūpinimą dėl „smėlio dėžės“ veikimo, „n8n“ 1.111.0 versijoje pristatė užduočių vykdiklio pagrindu sukurtą natyvų „Python“ vykdymo modelį kaip pasirenkamą, saugiau izoliuotą funkciją. Šį modelį galima įjungti naudojant aplinkos kintamuosius N8N_RUNNERS_ENABLED ir N8N_NATIVE_PYTHON_RUNNER.
Išleidus 2.0.0 versiją, šis saugesnis diegimas dabar įjungtas pagal numatytuosius nustatymus, todėl pažeidžiamumas faktiškai panaikintas.
Rekomenduojami netaisytų sistemų problemų sprendimo būdai
Kol bus galima atnaujinti į 2.0.0 versiją, „n8n“ rekomenduoja taikyti šias laikinas apsaugos priemones:
Visiškai išjunkite kodo mazgą nustatydami :
NODES_EXCLUDE: ['n8n-nodes-base.code']
Išjunkite Python palaikymą kodo mazge nustatydami :
N8N_PYTHON_ENABLED=false
Priverstinai naudoti užduočių vykdiklio pagrindu veikiančią „Python“ smėlio dėžę per :
N8N_RUNNERS_ENABLED ir N8N_NATIVE_PYTHON_RUNNER
Šie veiksmai žymiai sumažina „smėlio dėžės“ pabėgimo ir komandų vykdymo riziką.
Nerimą keliančios tendencijos dalis
Šis atskleidimas įvyko netrukus po kitos kritinės „n8n“ spragos – CVE-2025-68613 (taip pat įvertintos 9.9 CVSS), kuri tam tikromis sąlygomis taip pat gali sukelti savavališką kodo vykdymą. Visos šios problemos pabrėžia neatidėliotiną poreikį administratoriams teikti pirmenybę atnaujinimams ir apriboti darbo eigos teises.
