Kahinaan ng CVE-2025-68668 n8n
Isiniwalat ng mga mananaliksik sa cybersecurity ang isang malubhang bagong kahinaan sa n8n, ang sikat na open-source workflow automation platform. Ang depektong ito ay maaaring magpahintulot sa isang authenticated attacker na magpatakbo ng mga arbitraryong utos sa operating system sa pinagbabatayang server, na posibleng humantong sa ganap na pagkompromiso sa system.
Ang isyu ay sinusubaybayan bilang CVE-2025-68668 at may markang CVSS na 9.9, kaya naman nasa kategorya itong kritikal na kalubhaan. Ito ay inuri bilang isang pagkabigo ng mekanismo ng proteksyon.
Talaan ng mga Nilalaman
Sino ang Nasa Panganib at Bakit Ito Mahalaga
Ang kahinaang ito ay nakakaapekto sa mga bersyon 1.0.0 ng n8n hanggang (ngunit hindi kasama ang) 2.0.0. Maaaring samantalahin ng sinumang na-authenticate na user na may pahintulot na lumikha o magbago ng mga workflow ang depekto upang isagawa ang mga command sa antas ng system na may parehong mga pribilehiyo gaya ng proseso ng n8n.
Ang kahinaan ay nagmumula sa isang sandbox bypass sa Python Code Node na umaasa sa Pyodide. Sa pamamagitan ng pag-abuso sa component na ito, maaaring makatakas ang isang attacker sa nilalayong execution environment at direktang makipag-ugnayan sa host operating system.
Ang problema ay ganap na naayos na sa n8n bersyon 2.0.0.
Teknikal na Pagsusuri: Python Sandbox Escape
Ayon sa opisyal na abiso, hindi sapat ang mga kontrol sa sandboxing ng Python Code Node, na nagbibigay-daan sa mga umaatake na malampasan ang mga paghihigpit at mag-trigger ng arbitraryong pagpapatupad ng utos. Malaki ang pagtaas nito sa profile ng panganib ng mga apektadong sistema, lalo na sa mga kapaligiran kung saan maraming user ang maaaring magdisenyo o mag-edit ng mga workflow.
Mga Pagpapahusay sa Seguridad at Pangmatagalang Pag-aayos ng n8n
Bilang tugon sa mas malawak na mga alalahanin sa sandboxing, ipinakilala ng n8n ang isang task runner-based native Python execution model sa bersyon 1.111.0 bilang isang opsyonal at mas ligtas na nakahiwalay na tampok. Maaaring paganahin ang modelong ito gamit ang mga environment variable na N8N_RUNNERS_ENABLED at N8N_NATIVE_PYTHON_RUNNER.
Sa paglabas ng bersyon 2.0.0, ang mas ligtas na implementasyong ito ay pinagana na ngayon bilang default, na epektibong nagsasara ng kahinaan.
Mga Inirerekomendang Pagbabawas para sa mga Hindi Na-patch na Sistema
Hangga't hindi pa posible ang pag-upgrade sa bersyon 2.0.0, ipinapayo ng n8n na ilapat ang mga sumusunod na pansamantalang pananggalang:
I-disable nang buo ang Code Node sa pamamagitan ng pagtatakda ng :
NODES_EXCLUDE: ['n8n-nodes-base.code']
I-off ang suporta ng Python sa Code Node sa pamamagitan ng pagtatakda ng :
N8N_PYTHON_ENABLED=mali
Pilitin ang paggamit ng Python sandbox na nakabatay sa task runner sa pamamagitan ng :
N8N_RUNNERS_ENABLED at N8N_NATIVE_PYTHON_RUNNER
Ang mga hakbang na ito ay makabuluhang nagbabawas sa panganib ng pagtakas ng sandbox at pagpapatupad ng utos.
Bahagi ng Isang Nakababahalang Uso
Ang pagsisiwalat na ito ay kasunod ng isa pang kritikal na kahinaan ng n8n, ang CVE-2025-68613 (na may rating din na 9.9 CVSS), na maaari ring humantong sa arbitraryong pagpapatupad ng code sa ilalim ng ilang partikular na kundisyon. Sama-sama, itinatampok ng mga isyung ito ang agarang pangangailangan para sa mga administrador na unahin ang mga pag-upgrade at paghigpitan ang mga pahintulot sa daloy ng trabaho.
