Lỗ hổng CVE-2025-68668 n8n
Các nhà nghiên cứu an ninh mạng đã phát hiện một lỗ hổng nghiêm trọng mới trong n8n, nền tảng tự động hóa quy trình làm việc mã nguồn mở phổ biến. Lỗ hổng này có thể cho phép kẻ tấn công đã xác thực chạy các lệnh hệ điều hành tùy ý trên máy chủ, có khả năng dẫn đến việc hệ thống bị xâm phạm hoàn toàn.
Lỗ hổng này được theo dõi với mã CVE-2025-68668 và có điểm CVSS là 9.9, xếp nó vào loại nghiêm trọng. Nó được phân loại là lỗi cơ chế bảo vệ.
Mục lục
Ai là người có nguy cơ và tại sao điều đó lại quan trọng?
Lỗ hổng này ảnh hưởng đến các phiên bản n8n từ 1.0.0 đến (nhưng không bao gồm) 2.0.0. Bất kỳ người dùng nào được xác thực và có quyền tạo hoặc sửa đổi quy trình công việc đều có thể khai thác lỗ hổng này để thực thi các lệnh cấp hệ thống với cùng đặc quyền như tiến trình n8n.
Điểm yếu này xuất phát từ việc bỏ qua cơ chế bảo mật sandbox trong Python Code Node, vốn dựa vào Pyodide. Bằng cách lợi dụng thành phần này, kẻ tấn công có thể thoát khỏi môi trường thực thi dự định và tương tác trực tiếp với hệ điều hành máy chủ.
Sự cố này đã được khắc phục hoàn toàn trong phiên bản n8n 2.0.0.
Phân tích kỹ thuật: Lỗi thoát khỏi hộp cát Python
Theo thông báo chính thức, các biện pháp kiểm soát hộp cát của Python Code Node không đủ hiệu quả, cho phép kẻ tấn công vượt qua các hạn chế và thực thi các lệnh tùy ý. Điều này làm tăng đáng kể mức độ rủi ro của các hệ thống bị ảnh hưởng, đặc biệt là trong môi trường nơi nhiều người dùng có thể thiết kế hoặc chỉnh sửa quy trình làm việc.
Các cải tiến bảo mật và bản vá lỗi dài hạn của n8n
Để giải quyết những lo ngại rộng hơn về việc bảo mật môi trường, n8n đã giới thiệu mô hình thực thi Python gốc dựa trên trình chạy tác vụ trong phiên bản 1.111.0 như một tính năng tùy chọn, được cách ly an toàn hơn. Mô hình này có thể được kích hoạt bằng cách sử dụng các biến môi trường N8N_RUNNERS_ENABLED và N8N_NATIVE_PYTHON_RUNNER.
Với việc phát hành phiên bản 2.0.0, tính năng bảo mật này hiện đã được bật mặc định, giúp khắc phục hiệu quả lỗ hổng bảo mật.
Các biện pháp khắc phục được đề xuất cho các hệ thống chưa được vá lỗi
Cho đến khi có thể nâng cấp lên phiên bản 2.0.0, n8n khuyến nghị áp dụng các biện pháp bảo vệ tạm thời sau:
Vô hiệu hóa hoàn toàn Code Node bằng cách thiết lập :
NODES_EXCLUDE: ['n8n-nodes-base.code']
Tắt hỗ trợ Python trong Code Node bằng cách thiết lập :
N8N_PYTHON_ENABLED=false
Buộc sử dụng môi trường sandbox Python dựa trên trình chạy tác vụ thông qua :
N8N_RUNNERS_ENABLED và N8N_NATIVE_PYTHON_RUNNER
Các bước này giúp giảm đáng kể nguy cơ thoát khỏi môi trường sandbox và thực thi lệnh.
Một phần của xu hướng đáng lo ngại
Thông tin này được tiết lộ ngay sau một lỗ hổng bảo mật nghiêm trọng khác của n8n, CVE-2025-68613 (cũng được xếp hạng 9.9 CVSS), có thể dẫn đến thực thi mã tùy ý trong một số điều kiện nhất định. Cả hai vấn đề này đều nhấn mạnh sự cần thiết cấp bách đối với các quản trị viên trong việc ưu tiên nâng cấp và hạn chế quyền truy cập quy trình làm việc.
