Zraniteľnosť CVE-2025-68668 n8n
Výskumníci v oblasti kybernetickej bezpečnosti odhalili novú závažnú zraniteľnosť v n8n, populárnej platforme s otvoreným zdrojovým kódom pre automatizáciu pracovných postupov. Chyba by mohla overenému útočníkovi umožniť spúšťať ľubovoľné príkazy operačného systému na podkladovom serveri, čo by mohlo viesť k úplnému ohrozeniu systému.
Problém je sledovaný ako CVE-2025-68668 a má skóre CVSS 9,9, čo ho zaraďuje do kategórie kritickej závažnosti. Bol klasifikovaný ako zlyhanie ochranného mechanizmu.
Obsah
Kto je v ohrození a prečo je to dôležité
Táto zraniteľnosť sa týka verzií n8n 1.0.0 až po (ale nie vrátane) 2.0.0. Každý overený používateľ, ktorý má povolenie na vytváranie alebo úpravu pracovných postupov, by mohol túto chybu zneužiť na vykonávanie príkazov na úrovni systému s rovnakými oprávneniami ako proces n8n.
Slabosť pramení z obídenia sandboxu v uzle Python Code Node, ktorý sa spolieha na Pyodide. Zneužitím tejto komponenty môže útočník uniknúť zamýšľanému prostrediu vykonávania a priamo interagovať s hostiteľským operačným systémom.
Problém bol kompletne opravený v n8n verzii 2.0.0.
Technické rozdelenie: Python Sandbox Escape
Podľa oficiálneho upozornenia boli kontroly sandboxu v Python Code Node nedostatočné, čo útočníkom umožňovalo obchádzať obmedzenia a spúšťať ľubovoľné vykonávanie príkazov. To dramaticky zvyšuje rizikový profil postihnutých systémov, najmä v prostrediach, kde viacerí používatelia môžu navrhovať alebo upravovať pracovné postupy.
Vylepšenia zabezpečenia a dlhodobé opravy od n8n
V reakcii na širšie obavy týkajúce sa sandboxu zaviedol n8n vo verzii 1.111.0 natívny model vykonávania Pythonu založený na runneri úloh ako voliteľnú a bezpečnejšie izolovanú funkciu. Tento model je možné povoliť pomocou premenných prostredia N8N_RUNNERS_ENABLED a N8N_NATIVE_PYTHON_RUNNER.
S vydaním verzie 2.0.0 je táto bezpečnejšia implementácia teraz štandardne povolená, čím sa táto zraniteľnosť efektívne odstránila.
Odporúčané zmierňujúce opatrenia pre neopravené systémy
Kým nebude možná aktualizácia na verziu 2.0.0, n8n odporúča použiť nasledujúce dočasné bezpečnostné opatrenia:
Úplne deaktivujte uzol kódu nastavením :
NODES_EXCLUDE: ['n8n-nodes-base.code']
Vypnite podporu Pythonu v uzle kódu nastavením :
N8N_PYTHON_ENABLED=false
Vynútiť použitie sandboxu Pythonu založeného na spúšťači úloh prostredníctvom :
N8N_RUNNERS_ENABLED a N8N_NATIVE_PYTHON_RUNNER
Tieto kroky výrazne znižujú riziko úniku z sandboxu a vykonania príkazu.
Súčasť znepokojujúceho trendu
Toto odhalenie nasleduje tesne po ďalšej kritickej zraniteľnosti n8n, CVE-2025-68613 (tiež s hodnotením 9,9 CVSS), ktorá by za určitých podmienok mohla viesť k ľubovoľnému spusteniu kódu. Tieto problémy spolu zdôrazňujú naliehavú potrebu, aby administrátori uprednostňovali aktualizácie a obmedzovali povolenia pracovných postupov.
