CVE-2025-68668 n8n ievainojamība
Kiberdrošības pētnieki ir atklājuši jaunu nopietnu ievainojamību populārajā atvērtā pirmkoda darbplūsmas automatizācijas platformā n8n. Šī nepilnība varētu ļaut autentificētam uzbrucējam palaist patvaļīgas operētājsistēmas komandas pamatā esošajā serverī, potenciāli izraisot pilnīgu sistēmas kompromitēšanu.
Problēma ir reģistrēta kā CVE-2025-68668, un tai ir piešķirts CVSS vērtējums 9,9, kas to stingri ierindo kritiskās nopietnības kategorijā. Tā ir klasificēta kā aizsardzības mehānisma kļūme.
Satura rādītājs
Kas ir pakļauts riskam un kāpēc tas ir svarīgi
Šī ievainojamība ietekmē n8n versiju 1.0.0 līdz (bet neieskaitot) 2.0.0. Jebkurš autentificēts lietotājs, kuram ir atļauja izveidot vai modificēt darbplūsmas, varētu izmantot šo trūkumu, lai izpildītu sistēmas līmeņa komandas ar tādām pašām privilēģijām kā n8n process.
Šī ievainojamība rodas no smilškastes apvedceļa Python koda mezglā, kas balstās uz Pyodide. Ļaunprātīgi izmantojot šo komponentu, uzbrucējs var izvairīties no paredzētās izpildes vides un tieši mijiedarboties ar resursdatora operētājsistēmu.
Problēma ir pilnībā novērsta n8n 2.0.0 versijā.
Tehniskais sadalījums: Python Sandbox Escape
Saskaņā ar oficiālo ieteikumu Python koda mezgla smilškastes vadīklas bija nepietiekamas, ļaujot uzbrucējiem apiet ierobežojumus un izraisīt patvaļīgu komandu izpildi. Tas ievērojami palielina skarto sistēmu riska profilu, īpaši vidēs, kur vairāki lietotāji var izstrādāt vai rediģēt darbplūsmas.
n8n drošības uzlabojumi un ilgtermiņa risinājums
Reaģējot uz plašākām bažām par smilškastes tehnoloģiju, n8n 1.111.0 versijā ieviesa uz uzdevumu izpildītāju balstītu vietējo Python izpildes modeli kā papildu, drošāk izolētu funkciju. Šo modeli var iespējot, izmantojot vides mainīgos N8N_RUNNERS_ENABLED un N8N_NATIVE_PYTHON_RUNNER.
Izlaižot 2.0.0 versiju, šī drošākā ieviešana tagad ir iespējota pēc noklusējuma, efektīvi novēršot ievainojamību.
Ieteicamie mazināšanas pasākumi neielāpotām sistēmām
Kamēr nav iespējams veikt jaunināšanu uz 2.0.0 versiju, n8n iesaka piemērot šādus pagaidu drošības pasākumus:
Pilnībā atspējojiet koda mezglu, iestatot :
NODES_EXCLUDE: ['n8n-nodes-base.code']
Izslēdziet Python atbalstu koda mezglā, iestatot :
N8N_PYTHON_ENABLED=false
Piespiedu kārtā izmantot uzdevumu izpildītāja balstīto Python smilškasti, izmantojot :
N8N_RUNNERS_ENABLED un N8N_NATIVE_PYTHON_RUNNER
Šīs darbības ievērojami samazina smilškastes izkļūšanas un komandu izpildes risku.
Daļa no satraucošas tendences
Šī informācija tika atklāta neilgi pēc citas kritiskas n8n ievainojamības — CVE-2025-68613 (arī novērtēta ar 9,9 CVSS), kas noteiktos apstākļos varētu izraisīt patvaļīga koda izpildi. Kopā šīs problēmas uzsver steidzamo nepieciešamību administratoriem noteikt jauninājumu prioritāti un ierobežot darbplūsmas atļaujas.
