n8n Python Code Node: CVSS 9.9
Egy kritikus biztonsági sebezhetőséget azonosítottak az n8n nyílt forráskódú munkafolyamat-automatizáló platformon belül. A hibát, amelyet CVE-2025-68668 azonosítójú sebezhetőségként követtek nyomon, 9,9-es CVSS pontszámmal minősítettek, ami a lehetséges maximumhoz közelít, és így kritikus veszélyességűnek számít. A probléma lényege, hogy egy hitelesített támadó, azaz olyan felhasználó, akinek van hozzáférése a rendszerhez, képes lehet operációs rendszerszintű parancsokat végrehajtani azon a gépen, ahol az n8n fut. Ez azt jelenti, hogy ha valaki jogosultságot szerez a rendszerben, akár teljes kontrollt nyerhet a szerver felett, érzékeny adatokhoz férhet hozzá, módosíthatja a munkafolyamatokat, vagy akár rendszerintézkedéseket hajthat végre.
A sebezhetőség konkrétan az n8n Python Code Node komponensében bujkál, ahol a Pyodide környezetben futó kód nem megfelelően szigetelt. A támadó speciálisan megformált munkafolyamat-definíciókkal kihasználhatja ezt a gyengeséget, és így kikerülheti a biztonsági homokozót, majd operációs rendszerszintű parancsokat futtathat. A hiba minden 1.0.0 és 2.0.0 közötti verziót érint, és a javításokat a legújabb kiadásokban (2.0.0 és felette) már beépítették.
A sebezhetőség különösen veszélyes, mert az n8n platformot széles körben használják, és a Censys adatai szerint több mint 100 000 potenciálisan sérülékeny példány fut a világban. A javítások mellett a fejlesztők ajánlják, hogy a rendszergazdák ideiglenesen korlátozzák a munkafolyamat-szerkesztési jogokat csak megbízható felhasználókra, és minimalizálják az n8n folyamat jogait a rendszerben. További védekezési lehetőségként ajánlják a Python támogatás letiltását a Code Node-ban, vagy a biztonságosabb futtatási környezetek bevezetését. Ha kihasználják, a támadók teljes szerverkompromittálást érhetnek el, és így hozzáférhetnek érzékeny adatokhoz, vagy akár a rendszer teljes átvételére is sor kerülhet.