Yeni açıklanan bir n8n güvenlik açığının, kimliği doğrulanmış kullanıcıların etkilenen sunucularda rastgele sistem komutları yürütmesine izin verdiği doğrulandı. CVE-2025-68668 olarak takip edilen soruna 9,9 CVSS puanı verildi ve bu da sorunu kesin olarak kritik önem aralığına yerleştirdi. Kusur, açık kaynaklı iş akışı otomasyon platformu n8n’yi ve geniş bir yelpazedeki konuşlandırılmış sürümleri etkiliyor.
n8n, uygulamaları, hizmetleri ve komut dosyalarını birbirine bağlayan otomatik iş akışlarını tasarlamak ve çalıştırmak için yaygın olarak kullanılır. Hassas entegrasyonların ve kimlik bilgilerinin işlenmesindeki rolü nedeniyle, platformdaki güvenlik açıkları önemli sonuçlara yol açabilir.
Python Kod Düğümünde Sandbox Atlaması
N8n güvenlik açığı, 1.0.0’dan 2.0.0’a kadar (ancak 2.0.0 hariç) tüm sürümleri etkilemektedir. Danışma belgesine göre, iş akışları oluşturma veya değiştirme izni olan kimliği doğrulanmış bir kullanıcı, n8n çalıştıran ana bilgisayarda rastgele işletim sistemi komutları yürütmek için bu sorundan yararlanabilir. Güvenlik açığı, koruma mekanizması hatası olarak kategorize edildi.
Bunun temel nedeni, Python kodunu yürütmek için Pyodide’ı kullanan Python Kod Düğümü içindeki sanal alan geçişinde yatmaktadır. Danışma belgesi sorunu açıkça açıklıyor: “Pyodide kullanan Python Kod Düğümünde bir sanal alan atlama güvenlik açığı mevcut. İş akışları oluşturma veya değiştirme iznine sahip kimliği doğrulanmış bir kullanıcı, n8n işlemiyle aynı ayrıcalıkları kullanarak n8n çalıştıran ana bilgisayar sisteminde rastgele komutlar yürütmek için bu güvenlik açığından yararlanabilir.”
Saldırgan otomatik olarak n8n hizmetinin kendisinden daha yüksek ayrıcalıklar elde etmese de, sistem komutlarını bu düzeyde çalıştırma yeteneği, örneğin nasıl konuşlandırıldığına bağlı olarak yine de veri erişimine, yanal harekete veya daha fazla uzlaşmaya izin verebilir. Kusur, güvenlik araştırmacısı Csuermann ile birlikte GHSA-62r4-hw23-cc8v altında yayınlandı. kredilendirildi rapor için. Etkilenen paket n8n npm paketidir ve sorun, sürüm 2.0.0’da tam olarak giderilene kadar mevcut kalmıştır.
Yama Ayrıntıları ve Güvenlik İyileştirmeleri
CVE-2025-68668 sorunu, artık yamalı sürüm olarak listelenen n8n sürüm 2.0.0’da çözüldü. Ancak bu sorunla ilgili güvenlik iyileştirmeleri daha önce getirilmişti. N8n sürüm 1.111.0’da proje, isteğe bağlı bir özellik olarak görev çalıştırıcısı tabanlı yerel Python uygulamasını ekledi. Bu uygulama, Python Kod Düğümü tarafından kullanılan Pyodide tabanlı sanal alandan daha güçlü bir izolasyon modeli sağlamak üzere tasarlanmıştır.
Etkilenen sürümlerde bu daha güvenli yürütme ortamını etkinleştirmek için yöneticilerin N8N_RUNNERS_ENABLED ve N8N_NATIVE_PYTHON_RUNNER ortam değişkenlerini yapılandırması gerekir. N8n 2.0.0’ın piyasaya sürülmesiyle birlikte, bu görev çalıştırıcısı tabanlı Python sanal alanı varsayılan davranış haline geldi ve CVE-2025-68668’i kötüye kullanılabilir hale getiren sanal alan geçişini etkili bir şekilde azalttı.
Bu varsayılan ayarın kullanıma sunulması, iş akışlarında Python kodunun yürütülmesiyle ilişkili saldırı yüzeyini azaltmayı amaçlayan bir mimari değişikliği işaret ediyor. Bu aynı zamanda otomasyon platformlarında potansiyel olarak tehlikeli operasyonların daha sıkı bir şekilde izole edilmesine yönelik daha geniş bir değişimi de yansıtıyor.
CVE-2025-68668 için Azaltıcı Önlemler, Geçici Çözümler ve Daha Geniş Bağlam
Hemen yükseltme yapamayan kuruluşlar için n8n, n8n güvenlik açığına maruz kalmayı sınırlamak için çeşitli geçici çözümler özetledi. Bir seçenek, NODES_EXCLUDE ortam değişkenini şu şekilde ayarlayarak Kod Düğümünü tamamen devre dışı bırakmaktır: [“n8n-nodes-base.code”].
Diğer bir azaltıcı önlem ise, n8n sürüm 1.104.0’da sunulan bir yapılandırma seçeneği olan N8N_PYTHON_ENABLED=false ayarını yaparak Kod Düğümünde Python desteğini tamamen devre dışı bırakmaktır. Yöneticiler ayrıca N8N_RUNNERS_ENABLED ve N8N_NATIVE_PYTHON_RUNNER kullanarak görev çalıştırıcısı tabanlı Python sanal alanını proaktif olarak etkinleştirebilir.
CVE-2025-68668’in açıklanması, yakın zamanda ele alınan bir başka kritik kusur olan CVE-2025-68613’ün ardından geldi; bu kusur aynı zamanda 9,9 CVSS puanına sahipti ve belirli koşullar altında keyfi kod yürütülmesine yol açabiliyordu.