CVE-2025-68668 n8n Cenueshmëri
Studiuesit e sigurisë kibernetike kanë zbuluar një dobësi të re serioze në n8n, platformën popullore të automatizimit të rrjedhës së punës me burim të hapur. E meta mund të lejojë një sulmues të autentifikuar të ekzekutojë komanda arbitrare të sistemit operativ në serverin themelor, duke çuar potencialisht në kompromentimin e plotë të sistemit.
Problemi gjurmohet si CVE-2025-68668 dhe mbart një rezultat CVSS prej 9.9, duke e vendosur atë në kategorinë e ashpërsisë kritike. Është klasifikuar si një dështim i mekanizmit mbrojtës.
Tabela e Përmbajtjes
Kush është në rrezik dhe pse ka rëndësi
Kjo dobësi ndikon në versionet n8n 1.0.0 deri në (por pa përfshirë) 2.0.0. Çdo përdorues i autentifikuar që ka leje për të krijuar ose modifikuar rrjedhat e punës mund ta shfrytëzojë këtë të metë për të ekzekutuar komanda në nivel sistemi me të njëjtat privilegje si procesi n8n.
Dobësia rrjedh nga një anashkalim sandbox në Python Code Node që mbështetet në Pyodide. Duke abuzuar me këtë komponent, një sulmues mund të shpëtojë nga mjedisi i synuar i ekzekutimit dhe të bashkëveprojë drejtpërdrejt me sistemin operativ pritës.
Problemi është zgjidhur plotësisht në versionin 2.0.0 të n8n.
Analizë Teknike: Python Sandbox Escape
Sipas njoftimit zyrtar, kontrollet sandbox të Python Code Node ishin të pamjaftueshme, duke u mundësuar sulmuesve të anashkalonin kufizimet dhe të shkaktonin ekzekutimin arbitrar të komandave. Kjo rrit ndjeshëm profilin e rrezikut të sistemeve të prekura, veçanërisht në mjediset ku përdorues të shumtë mund të projektojnë ose modifikojnë rrjedhat e punës.
Përmirësimet e Sigurisë nga n8n dhe Zgjidhja Afatgjatë
Në përgjigje të shqetësimeve më të gjera në lidhje me sandbox-in, n8n prezantoi një model ekzekutimi Python native të bazuar në ekzekutuesin e detyrave në versionin 1.111.0 si një veçori opsionale dhe e izoluar më sigurt. Ky model mund të aktivizohet duke përdorur variablat e mjedisit N8N_RUNNERS_ENABLED dhe N8N_NATIVE_PYTHON_RUNNER.
Me publikimin e versionit 2.0.0, ky implementim më i sigurt tani aktivizohet si parazgjedhje, duke e mbyllur në mënyrë efektive dobësinë.
Zbutjet e rekomanduara për sistemet e papajisura
Derisa të jetë e mundur përditësimi në versionin 2.0.0, n8n këshillon zbatimin e masave të përkohshme mbrojtëse të mëposhtme:
Çaktivizoni plotësisht Nyjen e Kodit duke vendosur :
NODES_EXCLUDE: ['n8n-nodes-base.code']
Çaktivizoni mbështetjen e Python në Code Node duke vendosur :
N8N_PYTHON_ENABLED=e gabuar
Përdorimi i detyruar i sandbox-it Python të bazuar në ekzekutuesin e detyrave nëpërmjet :
N8N_RUNNERS_ENABLED dhe N8N_NATIVE_PYTHON_RUNNER
Këto hapa e zvogëlojnë ndjeshëm rrezikun e ikjes nga sandbox dhe ekzekutimit të komandave.
Pjesë e një trendi shqetësues
Ky zbulim vjen menjëherë pas një tjetër dobësie kritike të n8n, CVE-2025-68613 (gjithashtu e vlerësuar me 9.9 CVSS), e cila gjithashtu mund të çojë në ekzekutim arbitrar të kodit në kushte të caktuara. Së bashku, këto çështje nxjerrin në pah nevojën urgjente që administratorët të përparësojnë përmirësimet dhe të kufizojnë lejet e rrjedhës së punës.
