CVE-2025-68668 n8n-sårbarhet
Cybersäkerhetsforskare har avslöjat en allvarlig ny sårbarhet i n8n, den populära plattformen för arbetsflödesautomation med öppen källkod. Bristen kan göra det möjligt för en autentiserad angripare att köra godtyckliga operativsystemkommandon på den underliggande servern, vilket potentiellt kan leda till fullständig systemkompromettering.
Problemet spåras som CVE-2025-68668 och har en CVSS-poäng på 9,9, vilket placerar det i den kritiska allvarlighetskategorin. Det har klassificerats som ett fel i en skyddsmekanism.
Innehållsförteckning
Vem är i riskzonen och varför det är viktigt
Denna sårbarhet påverkar n8n version 1.0.0 upp till (men inte inklusive) 2.0.0. Alla autentiserade användare som har behörighet att skapa eller ändra arbetsflöden kan utnyttja felet för att köra kommandon på systemnivå med samma behörigheter som n8n-processen.
Svagheten härrör från en sandlådeförbikoppling i Python Code Node som förlitar sig på Pyodide. Genom att missbruka denna komponent kan en angripare fly från den avsedda exekveringsmiljön och interagera direkt med värdoperativsystemet.
Problemet har åtgärdats helt i n8n version 2.0.0.
Teknisk sammanfattning: Python Sandbox Escape
Enligt den officiella rekommendationen var Python Code Nodes sandbox-kontroller otillräckliga, vilket gjorde det möjligt för angripare att kringgå begränsningar och utlösa godtycklig kommandokörning. Detta ökar dramatiskt riskprofilen för drabbade system, särskilt i miljöer där flera användare kan utforma eller redigera arbetsflöden.
n8ns säkerhetsförbättringar och långsiktiga lösningar
Som svar på bredare problem med sandboxing introducerade n8n en inbyggd Python-exekveringsmodell baserad på task runner i version 1.111.0 som en valfri, säkrare isolerad funktion. Denna modell kan aktiveras med hjälp av miljövariablerna N8N_RUNNERS_ENABLED och N8N_NATIVE_PYTHON_RUNNER.
Med lanseringen av version 2.0.0 är denna säkrare implementering nu aktiverad som standard, vilket effektivt stänger sårbarheten.
Rekommenderade åtgärder för system som inte har uppdaterats
Tills det är möjligt att uppgradera till version 2.0.0 rekommenderar n8n att följande tillfälliga säkerhetsåtgärder tillämpas:
Inaktivera kodnoden helt genom att ställa in :
NODES_EXCLUDE: ['n8n-nodes-base.code']
Stäng av Python-stöd i kodnoden genom att ställa in :
N8N_PYTHON_ENABLED=falskt
Tvinga fram användning av den task runner-baserade Python-sandlådan via :
N8N_RUNNERS_ENABLED och N8N_NATIVE_PYTHON_RUNNER
Dessa steg minskar risken för sandbox-escape och kommandokörning avsevärt.
En del av en oroande trend
Detta avslöjande följer tätt i kölvattnet av en annan kritisk n8n-sårbarhet, CVE-2025-68613 (också klassad 9.9 CVSS), som under vissa förhållanden likaledes kan leda till godtycklig kodkörning. Tillsammans belyser dessa problem det akuta behovet för administratörer att prioritera uppgraderingar och begränsa arbetsflödesbehörigheter.
