Ranljivost CVE-2025-68668 n8n
Raziskovalci kibernetske varnosti so razkrili novo resno ranljivost v n8n, priljubljeni platformi za avtomatizacijo delovnih procesov z odprto kodo. Napaka bi lahko overjenemu napadalcu omogočila izvajanje poljubnih ukazov operacijskega sistema na osnovnem strežniku, kar bi lahko privedlo do popolne ogroženosti sistema.
Težava je označena kot CVE-2025-68668 in ima oceno CVSS 9,9, kar jo trdno uvršča v kategorijo kritične resnosti. Razvrščena je bila kot napaka zaščitnega mehanizma.
Kazalo
Kdo je ogrožen in zakaj je to pomembno
Ta ranljivost vpliva na različice n8n od 1.0.0 do (vendar ne vključno) 2.0.0. Vsak overjen uporabnik, ki ima dovoljenje za ustvarjanje ali spreminjanje delovnih tokov, bi lahko izkoristil napako za izvajanje ukazov na ravni sistema z enakimi privilegiji kot proces n8n.
Slabost izhaja iz obhoda peskovnika v vozlišču kode Python, ki se zanaša na Pyodide. Z zlorabo te komponente lahko napadalec zapusti predvideno okolje izvajanja in neposredno komunicira z gostiteljskim operacijskim sistemom.
Težava je bila v celoti odpravljena v različici 2.0.0 programa n8n.
Tehnična razčlenitev: Python Sandbox Escape
Glede na uradno obvestilo so bili nadzorni mehanizmi za peskovnik v vozlišču Python Code Node nezadostni, kar je napadalcem omogočilo, da so zaobšli omejitve in sprožili poljubno izvajanje ukazov. To močno poveča profil tveganja prizadetih sistemov, zlasti v okoljih, kjer lahko več uporabnikov oblikuje ali ureja delovne procese.
n8n-ove varnostne izboljšave in dolgoročna rešitev
Kot odgovor na širše pomisleke glede peskovnika je n8n v različici 1.111.0 uvedel izvorni model izvajanja Pythona, ki temelji na izvajalniku opravil, kot izbirno, varneje izolirano funkcijo. Ta model je mogoče omogočiti z okoljskimi spremenljivkami N8N_RUNNERS_ENABLED in N8N_NATIVE_PYTHON_RUNNER.
Z izdajo različice 2.0.0 je ta varnejša izvedba zdaj privzeto omogočena, kar učinkovito odpravlja ranljivost.
Priporočene omilitve za sisteme brez popravkov
Dokler nadgradnja na različico 2.0.0 ni mogoča, n8n priporoča uporabo naslednjih začasnih zaščitnih ukrepov:
Vozlišče kode popolnoma onemogočite z nastavitvijo :
IZKLJUČITEV_VOZLIŠČ: ['n8n-nodes-base.code']
Izklopite podporo za Python v vozlišču kode z nastavitvijo :
N8N_PYTHON_ENABLED=napačno
Vsili uporabo peskovnika Python, ki temelji na izvajalcu opravil, prek :
N8N_RUNNERS_ENABLED in N8N_NATIVE_PYTHON_RUNNER
Ti koraki znatno zmanjšajo tveganje za pobeg iz peskovnika in izvajanje ukazov.
Del zaskrbljujočega trenda
To razkritje sledi takoj za drugo kritično ranljivostjo n8n, CVE-2025-68613 (prav tako ocenjeno z 9,9 CVSS), ki bi lahko pod določenimi pogoji prav tako privedla do poljubnega izvajanja kode. Skupaj te težave poudarjajo nujno potrebo, da skrbniki dajo prednost nadgradnjam in omejijo dovoljenja za delovni tok.
