Kerentanan CVE-2025-68668 n8n
Penyelidik keselamatan siber telah mendedahkan kelemahan baharu yang teruk dalam n8n, platform automasi aliran kerja sumber terbuka yang popular. Kecacatan itu boleh membenarkan penyerang yang disahkan menjalankan arahan sistem pengendalian sewenang-wenangnya pada pelayan asas, yang berpotensi membawa kepada pencerobohan sistem sepenuhnya.
Isu ini dikesan sebagai CVE-2025-68668 dan membawa skor CVSS sebanyak 9.9, meletakkannya dalam kategori keterukan kritikal. Ia telah diklasifikasikan sebagai kegagalan mekanisme perlindungan.
Isi kandungan
Siapakah yang Berisiko dan Mengapa Ia Penting
Kerentanan ini memberi kesan kepada n8n versi 1.0.0 sehingga (tetapi tidak termasuk) 2.0.0. Mana-mana pengguna yang disahkan yang mempunyai kebenaran untuk mencipta atau mengubah suai aliran kerja boleh mengeksploitasi kecacatan ini untuk melaksanakan arahan peringkat sistem dengan keistimewaan yang sama seperti proses n8n.
Kelemahan ini berpunca daripada pintasan kotak pasir dalam Nod Kod Python yang bergantung pada Pyodide. Dengan menyalahgunakan komponen ini, penyerang boleh melarikan diri daripada persekitaran pelaksanaan yang dimaksudkan dan berinteraksi secara langsung dengan sistem pengendalian hos.
Masalah ini telah diatasi sepenuhnya dalam n8n versi 2.0.0.
Pecahan Teknikal: Python Sandbox Escape
Menurut nasihat rasmi, kawalan sandboxing Nod Kod Python tidak mencukupi, membolehkan penyerang memintas sekatan dan mencetuskan pelaksanaan arahan sewenang-wenangnya. Ini meningkatkan profil risiko sistem yang terjejas secara mendadak, terutamanya dalam persekitaran di mana berbilang pengguna boleh mereka bentuk atau mengedit aliran kerja.
Penambahbaikan Keselamatan n8n dan Pembaikan Jangka Panjang
Sebagai tindak balas kepada kebimbangan sandboxing yang lebih luas, n8n memperkenalkan model pelaksanaan Python natif berasaskan task runner dalam versi 1.111.0 sebagai ciri pilihan yang lebih selamat dan terasing. Model ini boleh diaktifkan menggunakan pembolehubah persekitaran N8N_RUNNERS_ENABLED dan N8N_NATIVE_PYTHON_RUNNER.
Dengan pelancaran versi 2.0.0, pelaksanaan yang lebih selamat ini kini diaktifkan secara lalai, sekali gus menutup kelemahan tersebut dengan berkesan.
Mitigasi yang Disyorkan untuk Sistem yang Tidak Ditambal
Sehingga penaiktarafan kepada versi 2.0.0 boleh dilakukan, n8n menasihatkan untuk menggunakan perlindungan sementara berikut:
Lumpuhkan Nod Kod sepenuhnya dengan menetapkan :
NODES_EXCLUDE: ['n8n-nodes-base.kod']
Matikan sokongan Python dalam Nod Kod dengan menetapkan :
N8N_PYTHON_ENABLED=palsu
Paksa penggunaan kotak pasir Python berasaskan pelari tugas melalui :
N8N_RUNNERS_ENABLED dan N8N_NATIVE_PYTHON_RUNNER
Langkah-langkah ini dapat mengurangkan risiko pelarian kotak pasir dan pelaksanaan arahan dengan ketara.
Sebahagian daripada Trend yang Memprihatinkan
Pendedahan ini susulan rapat dengan satu lagi kelemahan n8n kritikal, CVE-2025-68613 (juga diberi penarafan 9.9 CVSS), yang juga boleh menyebabkan pelaksanaan kod sewenang-wenangnya di bawah syarat-syarat tertentu. Secara keseluruhannya, isu-isu ini menonjolkan keperluan mendesak bagi pentadbir untuk mengutamakan peningkatan dan menyekat kebenaran aliran kerja.
