Уязвимость CVE-2025-68668 n8n
Исследователи в области кибербезопасности обнаружили новую серьезную уязвимость в n8n, популярной платформе автоматизации рабочих процессов с открытым исходным кодом. Эта уязвимость может позволить авторизованному злоумышленнику выполнять произвольные команды операционной системы на базовом сервере, что потенциально может привести к полной компрометации системы.
Данная проблема отслеживается под номером CVE-2025-68668 и имеет оценку CVSS 9,9, что относит её к категории критической серьёзности. Она классифицирована как сбой механизма защиты.
Оглавление
Кто находится в группе риска и почему это важно
Эта уязвимость затрагивает версии n8n от 1.0.0 до (но не включая) 2.0.0. Любой авторизованный пользователь, имеющий разрешение на создание или изменение рабочих процессов, может использовать эту уязвимость для выполнения системных команд с теми же привилегиями, что и процесс n8n.
Уязвимость обусловлена обходом песочницы в узле кода Python, который использует Pyodide. Злоупотребляя этим компонентом, злоумышленник может выйти за пределы предполагаемой среды выполнения и напрямую взаимодействовать с операционной системой хоста.
Проблема полностью устранена в версии n8n 2.0.0.
Технический анализ: Выход из песочницы Python
Согласно официальному предупреждению, механизмы изоляции Python Code Node оказались недостаточными, что позволило злоумышленникам обходить ограничения и запускать произвольное выполнение команд. Это значительно повышает риск для затронутых систем, особенно в средах, где несколько пользователей могут разрабатывать или редактировать рабочие процессы.
Улучшения безопасности и долгосрочное решение от n8n
В ответ на более широкие опасения по поводу изоляции процессов, в версии 1.111.0 n8n представил модель выполнения нативных Python на основе менеджера задач в качестве дополнительной, более безопасно изолированной функции. Эту модель можно включить с помощью переменных среды N8N_RUNNERS_ENABLED и N8N_NATIVE_PYTHON_RUNNER.
С выходом версии 2.0.0 эта более безопасная реализация теперь включена по умолчанию, что фактически устраняет уязвимость.
Рекомендуемые меры по устранению неповреждений в системах без установленных обновлений.
До тех пор, пока не станет возможным обновление до версии 2.0.0, n8n рекомендует применять следующие временные меры защиты:
Полностью отключите узел кода, установив :
NODES_EXCLUDE: ['n8n-nodes-base.code']
Отключите поддержку Python в узле Code Node, установив следующее :
N8N_PYTHON_ENABLED=false
Принудительное использование песочницы Python на основе средства запуска задач осуществляется следующим образом :
N8N_RUNNERS_ENABLED и N8N_NATIVE_PYTHON_RUNNER
Эти шаги значительно снижают риск выхода за пределы изолированной среды и выполнения команд.
Часть тревожной тенденции
Это сообщение появилось вскоре после обнаружения еще одной критической уязвимости n8n, CVE-2025-68613 (также имеющей рейтинг 9.9 CVSS), которая при определенных условиях также может привести к выполнению произвольного кода. В совокупности эти проблемы подчеркивают острую необходимость для администраторов уделять приоритетное внимание обновлениям и ограничивать права доступа к рабочим процессам.
