Vulnerabilitate n8n CVE-2025-68668
Cercetătorii în domeniul securității cibernetice au dezvăluit o nouă vulnerabilitate gravă în n8n, populara platformă open-source de automatizare a fluxurilor de lucru. Defectul ar putea permite unui atacator autentificat să execute comenzi arbitrare ale sistemului de operare pe serverul subiacent, ceea ce ar putea duce la compromiterea completă a sistemului.
Problema este înregistrată ca CVE-2025-68668 și are un scor CVSS de 9,9, plasând-o ferm în categoria de severitate critică. A fost clasificată drept o defecțiune a mecanismului de protecție.
Cuprins
Cine este în pericol și de ce contează
Această vulnerabilitate afectează versiunile n8n 1.0.0 până la (dar excluzând) 2.0.0. Orice utilizator autentificat care are permisiunea de a crea sau modifica fluxuri de lucru ar putea exploata eroarea pentru a executa comenzi la nivel de sistem cu aceleași privilegii ca procesul n8n.
Slăbiciunea provine dintr-o ocolire a sandbox-ului în Nodul de Cod Python care se bazează pe Pyodide. Abuzând de această componentă, un atacator poate ieși din mediul de execuție dorit și poate interacționa direct cu sistemul de operare gazdă.
Problema a fost complet rezolvată în versiunea 2.0.0 a sistemului de operare n8n.
Detaliere tehnică: Python Sandbox Escape
Conform avizului oficial, controalele de tip sandboxing ale Python Code Node au fost insuficiente, permițând atacatorilor să ocolească restricțiile și să declanșeze execuția arbitrară a comenzilor. Acest lucru crește dramatic profilul de risc al sistemelor afectate, în special în mediile în care mai mulți utilizatori pot proiecta sau edita fluxuri de lucru.
Îmbunătățiri de securitate și remediere pe termen lung ale n8n
Ca răspuns la preocupările mai ample legate de sandboxing, n8n a introdus în versiunea 1.111.0 un model de execuție nativ Python bazat pe task runner, ca o caracteristică opțională și mai sigură. Acest model poate fi activat folosind variabilele de mediu N8N_RUNNERS_ENABLED și N8N_NATIVE_PYTHON_RUNNER.
Odată cu lansarea versiunii 2.0.0, această implementare mai sigură este acum activată în mod implicit, eliminând efectiv vulnerabilitatea.
Atenuări recomandate pentru sistemele fără patch-uri
Până când actualizarea la versiunea 2.0.0 va fi posibilă, n8n recomandă aplicarea următoarelor măsuri de siguranță temporare:
Dezactivați complet Nodul de Cod setând :
NODES_EXCLUDE: ['n8n-nodes-base.code']
Dezactivați suportul Python în Nodul de Cod setând :
N8N_PYTHON_ENABLED=fals
Forțează utilizarea sandbox-ului Python bazat pe Task Runner prin :
N8N_RUNNERS_ENABLED și N8N_NATIVE_PYTHON_RUNNER
Acești pași reduc semnificativ riscul de ieșire din sandbox și de executare a comenzilor.
Parte a unei tendințe îngrijorătoare
Această dezvăluire vine imediat după o altă vulnerabilitate critică n8n, CVE-2025-68613 (de asemenea, evaluată cu 9,9 CVSS), care ar putea duce, de asemenea, la executarea arbitrară de cod în anumite condiții. Împreună, aceste probleme evidențiază nevoia urgentă ca administratorii să acorde prioritate actualizărilor și să restricționeze permisiunile fluxului de lucru.
