CVE-2025-68668 n8n-sårbarhet
Forskere på nettsikkerhet har avslørt en alvorlig ny sårbarhet i n8n, den populære plattformen for automatisering av arbeidsflyt med åpen kildekode. Feilen kan tillate en autentisert angriper å kjøre vilkårlige operativsystemkommandoer på den underliggende serveren, noe som potensielt kan føre til fullstendig systemkompromittering.
Problemet spores som CVE-2025-68668 og har en CVSS-poengsum på 9,9, noe som plasserer det i kritisk alvorlighetskategori. Det har blitt klassifisert som en feil i beskyttelsesmekanismen.
Innholdsfortegnelse
Hvem er i faresonen og hvorfor det er viktig
Denne sårbarheten påvirker n8n versjon 1.0.0 opp til (men ikke inkludert) 2.0.0. Enhver autentisert bruker som har tillatelse til å opprette eller endre arbeidsflyter, kan utnytte feilen til å utføre kommandoer på systemnivå med samme rettigheter som n8n-prosessen.
Svakheten stammer fra en sandkasse-omgåelse i Python-kodenoden som er avhengig av Pyodide. Ved å misbruke denne komponenten kan en angriper unnslippe det tiltenkte utførelsesmiljøet og samhandle direkte med vertsoperativsystemet.
Problemet er fullstendig rettet i n8n versjon 2.0.0.
Teknisk oversikt: Python Sandbox Escape
Ifølge den offisielle meldingen var Python Code Nodes sandbokskontroller utilstrekkelige, noe som gjorde det mulig for angripere å omgå restriksjoner og utløse vilkårlig kommandokjøring. Dette øker risikoprofilen til berørte systemer dramatisk, spesielt i miljøer der flere brukere kan designe eller redigere arbeidsflyter.
n8ns sikkerhetsforbedringer og langsiktige løsninger
Som svar på bredere bekymringer rundt sandkasser introduserte n8n en oppgaveløperbasert, native Python-utførelsesmodell i versjon 1.111.0 som en valgfri, sikrere isolert funksjon. Denne modellen kan aktiveres ved hjelp av miljøvariablene N8N_RUNNERS_ENABLED og N8N_NATIVE_PYTHON_RUNNER.
Med utgivelsen av versjon 2.0.0 er denne sikrere implementeringen nå aktivert som standard, noe som effektivt lukker sårbarheten.
Anbefalte tiltak for uoppdaterte systemer
Inntil det er mulig å oppgradere til versjon 2.0.0, anbefaler n8n å bruke følgende midlertidige sikkerhetstiltak:
Deaktiver kodenoden fullstendig ved å sette :
NODES_EXCLUDE: ['n8n-nodes-base.code']
Slå av Python-støtte i kodenoden ved å sette :
N8N_PYTHON_ENABLED=usann
Tving bruk av den oppgaveløperbaserte Python-sandkassen via :
N8N_RUNNERS_ENABLED og N8N_NATIVE_PYTHON_RUNNER
Disse trinnene reduserer risikoen for sandkasse-rømming og kommandoutførelse betydelig.
Del av en bekymringsfull trend
Denne avsløringen følger tett i kjølvannet av en annen kritisk n8n-sårbarhet, CVE-2025-68613 (også vurdert til 9.9 CVSS), som også kan føre til vilkårlig kodekjøring under visse forhold. Sammen fremhever disse problemene det presserende behovet for at administratorer prioriterer oppgraderinger og begrenser arbeidsflyttillatelser.
