Рањивост CVE-2025-68668 n8n
Истраживачи сајбер безбедности открили су нову озбиљну рањивост у n8n, популарној платформи за аутоматизацију радних процеса отвореног кода. Рањивост би могла да омогући аутентификованом нападачу да покреће произвољне команде оперативног система на основном серверу, што потенцијално може довести до потпуног компромитовања система.
Проблем је праћен као CVE-2025-68668 и има CVSS оцену 9,9, што га чврсто сврстава у категорију критичне озбиљности. Класификован је као квар заштитног механизма.
Преглед садржаја
Ко је у опасности и зашто је то важно
Ова рањивост утиче на верзије n8n од 1.0.0 до (али не укључујући) 2.0.0. Сваки аутентификовани корисник који има дозволу за креирање или измену токова посла може искористити грешку да извршава команде на нивоу система са истим привилегијама као и n8n процес.
Слабост произилази из заобилажења sandbox-а у Python Code Node-у који се ослања на Pyodide. Злоупотребом ове компоненте, нападач може да избегне предвиђено окружење за извршавање и директно интерагује са хост оперативним системом.
Проблем је у потпуности решен у n8n верзији 2.0.0.
Технички преглед: Python Sandbox Escape
Према званичном саветодавном упозорењу, контроле „sandbox“-а Python Code Node-а биле су недовољне, омогућавајући нападачима да заобиђу ограничења и покрену произвољно извршавање команди. Ово драматично повећава профил ризика погођених система, посебно у окружењима где више корисника може да дизајнира или уређује токове рада.
n8n-ова безбедносна побољшања и дугорочна поправка
Као одговор на шире забринутости око „sandbox“-а, n8n је у верзији 1.111.0 увео изворни модел извршавања Пајтона заснован на покретачу задатака као опциону, безбедније изоловану функцију. Овај модел се може омогућити коришћењем променљивих окружења N8N_RUNNERS_ENABLED и N8N_NATIVE_PYTHON_RUNNER.
Са објављивањем верзије 2.0.0, ова безбеднија имплементација је сада подразумевано омогућена, чиме се рањивост ефикасно отклања.
Препоручене мере за ублажавање за системе без закрпљења
Док надоградња на верзију 2.0.0 не буде могућа, n8n саветује примену следећих привремених мера заштите:
Потпуно онемогућите чвор кода подешавањем :
NODES_ECCLUDE: ['n8n-nodes-base.code']
Искључите подршку за Пајтон у чвору кода подешавањем :
N8N_PYTHON_ENABLED=нетачно
Присилно коришћење Python sandbox-а заснованог на Task Runner-у путем :
N8N_RUNNERS_ENABLED и N8N_NATIVE_PYTHON_RUNNER
Ови кораци значајно смањују ризик од изласка из sandbox-а и извршавања команди.
Део забрињавајућег тренда
Ово откриће долази одмах након још једне критичне рањивости n8n, CVE-2025-68613 (такође оцењене са 9.9 CVSS), која би такође могла довести до произвољног извршавања кода под одређеним условима. Заједно, ови проблеми истичу хитну потребу да администратори дају приоритет надоградњама и ограниче дозволе за радни ток.
