У n8n - популярній open-source платформі для автоматизації workflows знайшли критичну вразливість: зловмисник, який уже має доступ до системи (автентифікований користувач), може виконувати довільні команди на сервері, де запущено n8n.
Цю вразливість зареєстровано як CVE-2025-68668. Її оцінили дуже високо за шкалою CVSS - 9,9 з 10, що підкреслює критичність проблеми.
За повідомленнями, причина - це sandbox bypass у Python Code Node в n8n, який виконує код через Pyodide. Через це автентифіковані користувачі з правами створювати або змінювати воркфлоу можуть обійти захисні механізми. Проблема зачіпає всі версії n8n від 1.0.0 до 1.111.0, тобто під ризиком опиняється дуже широкий спектр користувачів.
Організаціям, які використовують уразливі версії, n8n радить негайно оновитися до 2.0.0 або новішої. Якщо швидко оновитися неможливо, ризики можна тимчасово зменшити, застосувавши наведені нижче обхідні рішення:
- Вимкнути
Code Node: встановити змінну середовищаNODES_EXCLUDEу значення["n8n-nodes-base.code"]. - Вимкнути підтримку Python у
Code Node: встановитиN8N_PYTHON_ENABLED=false(цю опцію додали починаючи з n8n1.104.0). - Перевести виконання Python у більш ізольований sandbox через task runner: налаштувати змінні середовища
N8N_RUNNERS_ENABLEDтаN8N_NATIVE_PYTHON_RUNNER.