Вразливість CVE-2025-68668 n8n
Дослідники з кібербезпеки виявили нову серйозну вразливість у n8n, популярній платформі з відкритим кодом для автоматизації робочих процесів. Ця вразливість може дозволити автентифікованому зловмиснику виконувати довільні команди операційної системи на базовому сервері, що потенційно може призвести до повного компрометування системи.
Проблема відстежується як CVE-2025-68668 та має оцінку CVSS 9,9, що міцно ставить її в категорію критичної серйозності. Її класифіковано як збій механізму захисту.
Зміст
Хто перебуває в групі ризику та чому це важливо
Ця вразливість впливає на версії n8n від 1.0.0 до (але не включно) 2.0.0. Будь-який автентифікований користувач, який має дозвіл на створення або зміну робочих процесів, може скористатися цією вразливістю для виконання команд системного рівня з тими ж привілеями, що й процес n8n.
Ця слабкість пов'язана з обходом пісочниці у вузлі коду Python, який залежить від Pyodide. Зловживаючи цим компонентом, зловмисник може вийти з передбачуваного середовища виконання та безпосередньо взаємодіяти з операційною системою хоста.
Проблему було повністю виправлено у версії n8n 2.0.0.
Технічний розбір: Python Sandbox Escape
Згідно з офіційним повідомленням, засоби контролю «пісочниці» вузла Python Code Node були недостатніми, що дозволяло зловмисникам обходити обмеження та запускати довільне виконання команд. Це значно підвищує профіль ризику уражених систем, особливо в середовищах, де кілька користувачів можуть розробляти або редагувати робочі процеси.
Покращення безпеки та довгострокове виправлення від n8n
У відповідь на ширші проблеми з ізоляцією, n8n представив у версії 1.111.0 нативну модель виконання Python на основі виконавця завдань як додаткову, більш безпечно ізольовану функцію. Цю модель можна ввімкнути за допомогою змінних середовища N8N_RUNNERS_ENABLED та N8N_NATIVE_PYTHON_RUNNER.
З виходом версії 2.0.0 ця безпечніша реалізація тепер увімкнена за замовчуванням, що фактично усуває вразливість.
Рекомендовані заходи захисту для непатчених систем
Доки оновлення до версії 2.0.0 не стане можливим, n8n рекомендує застосовувати такі тимчасові запобіжні заходи:
Повністю вимкніть вузол коду, встановивши :
ВИКЛЮЧЕННЯ_ВУЗЛІВ: ['n8n-nodes-base.code']
Вимкніть підтримку Python у вузлі коду, встановивши :
N8N_PYTHON_ENABLED=хибність
Примусово використовувати пісочницю Python на основі виконавця завдань через :
N8N_RUNNERS_ENABLED та N8N_NATIVE_PYTHON_RUNNER
Ці кроки значно знижують ризик виходу з пісочниці та виконання команд.
Частина тривожної тенденції
Це розкриття інформації відбувається одразу після іншої критичної вразливості n8n, CVE-2025-68613 (також з рейтингом 9.9 CVSS), яка також може призвести до виконання довільного коду за певних умов. Разом ці проблеми підкреслюють нагальну потребу для адміністраторів у пріоритезації оновлень та обмеженні прав доступу до робочих процесів.
