CVE-2025-68668 n8n பாதிப்பு

பிரபலமான ஓப்பன் சோர்ஸ் பணிப்பாய்வு ஆட்டோமேஷன் தளமான n8n இல் சைபர் பாதுகாப்பு ஆராய்ச்சியாளர்கள் கடுமையான புதிய பாதிப்பை வெளிப்படுத்தியுள்ளனர். இந்த குறைபாடு, அங்கீகரிக்கப்பட்ட தாக்குபவர் அடிப்படை சர்வரில் தன்னிச்சையான இயக்க முறைமை கட்டளைகளை இயக்க அனுமதிக்கும், இது முழு கணினி சமரசத்திற்கும் வழிவகுக்கும்.

இந்தப் பிரச்சினை CVE-2025-68668 எனக் கண்காணிக்கப்பட்டு, 9.9 என்ற CVSS மதிப்பெண்ணைக் கொண்டுள்ளது, இது கடுமையான தீவிரத்தன்மை பிரிவில் உறுதியாக வைக்கிறது. இது ஒரு பாதுகாப்பு பொறிமுறை தோல்வியாக வகைப்படுத்தப்பட்டுள்ளது.

யாருக்கு ஆபத்து, அது ஏன் முக்கியம்

இந்தப் பாதிப்பு n8n பதிப்புகள் 1.0.0 முதல் 2.0.0 வரை (ஆனால் சேர்க்கப்படவில்லை) பாதிக்கிறது. பணிப்பாய்வுகளை உருவாக்க அல்லது மாற்ற அனுமதி பெற்ற எந்தவொரு அங்கீகரிக்கப்பட்ட பயனரும் n8n செயல்முறையைப் போலவே அதே சலுகைகளுடன் கணினி-நிலை கட்டளைகளை இயக்க இந்த குறைபாட்டைப் பயன்படுத்திக் கொள்ளலாம்.

இந்த பலவீனம், பைதான் குறியீடு முனையில் உள்ள ஒரு சாண்ட்பாக்ஸ் பைபாஸிலிருந்து உருவாகிறது, இது பியோடைடை நம்பியுள்ளது. இந்த கூறுகளை துஷ்பிரயோகம் செய்வதன் மூலம், தாக்குபவர் நோக்கம் கொண்ட செயல்படுத்தல் சூழலிலிருந்து தப்பித்து ஹோஸ்ட் இயக்க முறைமையுடன் நேரடியாக தொடர்பு கொள்ள முடியும்.

இந்தச் சிக்கல் n8n பதிப்பு 2.0.0 இல் முழுமையாக சரிசெய்யப்பட்டுள்ளது.

தொழில்நுட்ப விளக்கம்: பைதான் சாண்ட்பாக்ஸ் எஸ்கேப்

அதிகாரப்பூர்வ ஆலோசனையின்படி, பைதான் கோட் நோடின் சாண்ட்பாக்ஸிங் கட்டுப்பாடுகள் போதுமானதாக இல்லை, இதனால் தாக்குபவர்கள் கட்டுப்பாடுகளைத் தவிர்த்து, தன்னிச்சையான கட்டளை செயல்படுத்தலைத் தூண்ட முடியும். இது பாதிக்கப்பட்ட அமைப்புகளின் ஆபத்து சுயவிவரத்தை வியத்தகு முறையில் அதிகரிக்கிறது, குறிப்பாக பல பயனர்கள் பணிப்பாய்வுகளை வடிவமைக்க அல்லது திருத்தக்கூடிய சூழல்களில்.

n8n இன் பாதுகாப்பு மேம்பாடுகள் மற்றும் நீண்டகால திருத்தம்

பரந்த சாண்ட்பாக்ஸிங் கவலைகளுக்கு பதிலளிக்கும் விதமாக, n8n பதிப்பு 1.111.0 இல் ஒரு விருப்பத்தேர்வாக, மிகவும் பாதுகாப்பாக தனிமைப்படுத்தப்பட்ட அம்சமாக ஒரு பணி ரன்னர் அடிப்படையிலான நேட்டிவ் பைதான் செயல்படுத்தல் மாதிரியை அறிமுகப்படுத்தியது. இந்த மாதிரியை N8N_RUNNERS_ENABLED மற்றும் N8N_NATIVE_PYTHON_RUNNER சூழல் மாறிகளைப் பயன்படுத்தி இயக்கலாம்.

பதிப்பு 2.0.0 வெளியீட்டில், இந்தப் பாதுகாப்பான செயல்படுத்தல் இப்போது இயல்பாகவே செயல்படுத்தப்பட்டு, பாதிப்பை திறம்பட மூடுகிறது.

இணைக்கப்படாத அமைப்புகளுக்கான பரிந்துரைக்கப்பட்ட தணிப்புகள்

பதிப்பு 2.0.0 க்கு மேம்படுத்துவது சாத்தியமாகும் வரை, n8n பின்வரும் தற்காலிக பாதுகாப்புகளைப் பயன்படுத்த அறிவுறுத்துகிறது:

அமைப்பதன் மூலம் குறியீடு முனையை முழுவதுமாக முடக்கவும் :
முனைகள்_தவிர்த்து: ['n8n-nodes-base.code']

குறியீடு முனையில் பைதான் ஆதரவை அணைக்க, அமைப்பதன் மூலம் :
N8N_PYTHON_ENABLED=தவறு

பணி இயக்குநரை அடிப்படையாகக் கொண்ட பைதான் சாண்ட்பாக்ஸை இதன் மூலம் கட்டாயமாகப் பயன்படுத்துதல் :
N8N_RUNNERS_ENABLED மற்றும் N8N_NATIVE_PYTHON_RUNNER

இந்தப் படிகள் சாண்ட்பாக்ஸ் தப்பிக்கும் மற்றும் கட்டளை செயல்படுத்தலின் அபாயத்தைக் கணிசமாகக் குறைக்கின்றன.

ஒரு தொடர்புடைய போக்கின் ஒரு பகுதி

இந்த வெளிப்படுத்தல், மற்றொரு முக்கியமான n8n பாதிப்பு, CVE-2025-68613 (9.9 CVSS என்றும் மதிப்பிடப்பட்டது) இன் பின்னணியில் நெருக்கமாகப் பின்தொடர்கிறது, இது சில நிபந்தனைகளின் கீழ் தன்னிச்சையான குறியீடு செயல்படுத்தலுக்கு வழிவகுக்கும். இந்த சிக்கல்கள் நிர்வாகிகள் மேம்படுத்தல்களுக்கு முன்னுரிமை அளித்து பணிப்பாய்வு அனுமதிகளை கட்டுப்படுத்த வேண்டிய அவசரத் தேவையை எடுத்துக்காட்டுகின்றன.