CVE-2025-68668 n8n-sårbarhed
Cybersikkerhedsforskere har afsløret en alvorlig ny sårbarhed i n8n, den populære open source-platform til automatisering af arbejdsgange. Fejlen kan give en autentificeret angriber mulighed for at køre vilkårlige operativsystemkommandoer på den underliggende server, hvilket potentielt kan føre til fuldstændig systemkompromittering.
Problemet er sporet som CVE-2025-68668 og har en CVSS-score på 9,9, hvilket placerer det solidt i den kritiske alvorlighedskategori. Det er blevet klassificeret som en fejl i en beskyttelsesmekanisme.
Indholdsfortegnelse
Hvem er i fare, og hvorfor det er vigtigt
Denne sårbarhed påvirker n8n version 1.0.0 op til (men ikke inklusive) 2.0.0. Enhver godkendt bruger, der har tilladelse til at oprette eller ændre arbejdsgange, kan udnytte fejlen til at udføre kommandoer på systemniveau med de samme rettigheder som n8n-processen.
Svagheden stammer fra en sandkasse-omgåelse i Python Code Node, der er afhængig af Pyodide. Ved at misbruge denne komponent kan en angriber undslippe det tilsigtede udførelsesmiljø og interagere direkte med værtens operativsystem.
Problemet er blevet fuldt ud rettet i n8n version 2.0.0.
Teknisk oversigt: Python Sandbox Escape
Ifølge den officielle meddelelse var Python Code Nodes sandboxing-kontroller utilstrækkelige, hvilket gjorde det muligt for angribere at omgå restriktioner og udløse vilkårlig kommandokørsel. Dette øger risikoprofilen for berørte systemer dramatisk, især i miljøer, hvor flere brugere kan designe eller redigere arbejdsgange.
n8ns sikkerhedsforbedringer og langsigtede løsning
Som svar på bredere sandboxing-bekymringer introducerede n8n en task runner-baseret, native Python-udførelsesmodel i version 1.111.0 som en valgfri, mere sikkert isoleret funktion. Denne model kan aktiveres ved hjælp af miljøvariablerne N8N_RUNNERS_ENABLED og N8N_NATIVE_PYTHON_RUNNER.
Med udgivelsen af version 2.0.0 er denne sikrere implementering nu aktiveret som standard, hvilket effektivt lukker sårbarheden.
Anbefalede afhjælpningsforanstaltninger for ikke-patchede systemer
Indtil det er muligt at opgradere til version 2.0.0, anbefaler n8n at anvende følgende midlertidige sikkerhedsforanstaltninger:
Deaktiver kodenoden helt ved at indstille :
NODES_EXCLUDE: ['n8n-nodes-base.code']
Slå Python-understøttelse fra i kodenoden ved at indstille :
N8N_PYTHON_ENABLED=falsk
Tving brug af den task runner-baserede Python-sandkasse via :
N8N_RUNNERS_ENABLED og N8N_NATIVE_PYTHON_RUNNER
Disse trin reducerer risikoen for sandbox-escape og kommandoudførelse betydeligt.
En del af en bekymrende tendens
Denne afsløring følger lige i kølvandet på en anden kritisk n8n-sårbarhed, CVE-2025-68613 (også vurderet til 9.9 CVSS), som ligeledes kan føre til vilkårlig kodeudførelse under visse betingelser. Samlet set fremhæver disse problemer det presserende behov for, at administratorer prioriterer opgraderinger og begrænser tilladelser til arbejdsgange.
