CVE-2025-68668 n8n-kwetsbaarheid
Onderzoekers op het gebied van cyberbeveiliging hebben een ernstige nieuwe kwetsbaarheid ontdekt in n8n, het populaire open-source platform voor workflowautomatisering. Door dit lek kan een geauthenticeerde aanvaller willekeurige besturingssysteemopdrachten uitvoeren op de onderliggende server, wat mogelijk kan leiden tot een volledige compromittering van het systeem.
Het probleem wordt geregistreerd onder CVE-2025-68668 en heeft een CVSS-score van 9,9, wat het in de categorie 'kritiek' plaatst. Het is geclassificeerd als een falen van een beveiligingsmechanisme.
Inhoudsopgave
Wie loopt risico en waarom is dat belangrijk?
Deze kwetsbaarheid treft n8n-versies 1.0.0 tot en met (maar niet inclusief) 2.0.0. Iedere geauthenticeerde gebruiker met de bevoegdheid om workflows te creëren of te wijzigen, kan de kwetsbaarheid misbruiken om systeemopdrachten uit te voeren met dezelfde privileges als het n8n-proces.
De kwetsbaarheid zit hem in een omzeiling van de sandbox in de Python Code Node die afhankelijk is van Pyodide. Door misbruik te maken van dit onderdeel kan een aanvaller de beoogde uitvoeringsomgeving verlaten en rechtstreeks communiceren met het hostbesturingssysteem.
Het probleem is volledig verholpen in n8n versie 2.0.0.
Technische analyse: Ontsnappen uit de Python-sandbox
Volgens het officiële advies waren de sandboxing-maatregelen van Python Code Node onvoldoende, waardoor aanvallers beperkingen konden omzeilen en willekeurige commando's konden uitvoeren. Dit verhoogt het risicoprofiel van getroffen systemen aanzienlijk, met name in omgevingen waar meerdere gebruikers workflows kunnen ontwerpen of bewerken.
Beveiligingsverbeteringen en een langetermijnoplossing voor n8n
Als reactie op de bredere zorgen over sandboxing introduceerde n8n in versie 1.111.0 een op task runners gebaseerd native Python-uitvoeringsmodel als een optionele, veiliger geïsoleerde functie. Dit model kan worden ingeschakeld met behulp van de omgevingsvariabelen N8N_RUNNERS_ENABLED en N8N_NATIVE_PYTHON_RUNNER.
Met de release van versie 2.0.0 is deze veiligere implementatie nu standaard ingeschakeld, waardoor het beveiligingslek effectief is gedicht.
Aanbevolen maatregelen om de schade te beperken voor systemen zonder patches.
Totdat een upgrade naar versie 2.0.0 mogelijk is, adviseert n8n de volgende tijdelijke voorzorgsmaatregelen te treffen:
Schakel het codeknooppunt volledig uit door de volgende instelling te gebruiken :
NODES_EXCLUDE: ['n8n-nodes-base.code']
Schakel de Python-ondersteuning in de Code Node uit door de volgende instelling te gebruiken :
N8N_PYTHON_ENABLED=false
Dwing het gebruik van de op de taakrunner gebaseerde Python-sandbox af via :
N8N_RUNNERS_ENABLED en N8N_NATIVE_PYTHON_RUNNER
Deze stappen verkleinen het risico op ontsnapping uit de sandbox en het uitvoeren van commando's aanzienlijk.
Onderdeel van een zorgwekkende trend
Deze onthulling volgt kort op een andere kritieke n8n-kwetsbaarheid, CVE-2025-68613 (eveneens beoordeeld met 9.9 CVSS), die onder bepaalde omstandigheden eveneens kan leiden tot het uitvoeren van willekeurige code. Samen benadrukken deze problemen de dringende noodzaak voor beheerders om prioriteit te geven aan upgrades en de toegangsrechten tot workflows te beperken.
