В популярной платформе автоматизации рабочих процессов n8n обнаружена критическая уязвимость, которая даёт злоумышленнику возможность выполнить произвольные команды на сервере с правами процесса n8n. Об этом сообщили исследователи безопасности из Cyera Research Labs.
Уязвимость получила идентификатор CVE-2025-68668 и имеет оценку критической опасности CVSS 9.9 из 10, что означает крайне серьёзный риск для инфраструктуры.
В чём суть проблемы
Платформа n8n позволяет пользователям строить автоматизированные рабочие процессы, объединяя задачи без необходимости писать код. Однако одна из функций, использование узлов кода на Python (Python Code Node) через Pyodide, оказалась плохо защищённой.
Проблема заключается в обходе изолированной среды (sandbox), которая должна ограничивать выполнение потенциально опасных операций. Из-за этой ошибки аутентифицированный пользователь, имеющий права на создание или изменение рабочих процессов, может внедрить и выполнить произвольные системные команды на сервере, где запущен n8n.
Это может привести к полной компрометации сервера, утечке данных, модификации рабочих процессов и другим последствиям, вплоть до разрушения инфраструктуры.
Какие версии затронуты
Уязвимость затрагивает практически все версии n8n от 1.0.0 до релизов перед 2.0.0 включительно.
Разработчики исправили проблему в версии 2.0.0, куда внесли изменения, делающие изоляцию кода в Python-узлах безопасной по умолчанию.
Что делать пользователям n8n
Если вы используете n8n:
Обязательно обновитесь до версии 2.0.0 или новее как можно скорее.
До обновления можно частично снизить риск, отключив уязвимые компоненты:
отключить узел кода (
Code Node) с помощью переменной окруженияNODES_EXCLUDE;отключить поддержку Python через
N8N_PYTHON_ENABLED=false;включить изолированный Python-раннер через
N8N_RUNNERS_ENABLEDиN8N_NATIVE_PYTHON_RUNNER.
Эти меры не обеспечивают полной защиты, поэтому обновление остаётся главным способом устранить уязвимость.
Почему это важно
Платформа n8n стала широко популярной благодаря гибкости и простоте автоматизации. Её используют как для внутренних корпоративных процессов, так и для сервисов, доступных из интернета.
Из-за массового распространения уязвимости сотни тысяч инстансов по всему миру могут быть потенциально уязвимы, если не применить обновления.
Даже злоумышленник с обычными правами пользователя (не администраторскими) получает возможность выполнить команды на хосте, что делает эту проблему крайне опасной для эксплуатационной безопасности.
Источник: The Hacker News