Açık kaynaklı bir iş akışı otomasyon platformu olan n8n’de, kimliği doğrulanmış bir saldırganın temeldeki ana bilgisayar üzerinde rastgele sistem komutları yürütmesine olanak tanıyan yeni bir kritik güvenlik açığı ortaya çıktı.
Şu şekilde izlenen güvenlik açığı: CVE-2025-68668CVSS puanlama sisteminde 9,9 olarak derecelendirilmiştir. Bir koruma mekanizması arızası durumu olarak tanımlandı.
1.0.0’dan 2.0.0’a kadar (2.0.0 hariç) n8n sürümlerini etkiler ve kimliği doğrulanmış bir kullanıcının, n8n çalıştıran ana bilgisayarda isteğe bağlı işletim sistemi komutlarını yürütmek üzere iş akışları oluşturmasına veya değiştirmesine olanak tanır. Sorun 2.0.0 sürümünde giderildi.
Kusur durumları için bir tavsiye niteliğindeki “Pyodide kullanan Python Kod Düğümünde bir sanal alan atlama güvenlik açığı bulunmaktadır”. “İş akışları oluşturma veya değiştirme izni olan kimliği doğrulanmış bir kullanıcı, n8n işlemiyle aynı ayrıcalıkları kullanarak n8n çalıştıran ana bilgisayar sisteminde rastgele komutlar yürütmek için bu güvenlik açığından yararlanabilir.”
N8n, gelişmiş güvenlik izolasyonu için isteğe bağlı bir özellik olarak 1.111.0 sürümünde görev çalıştırıcısı tabanlı yerel Python uygulamasını sunduğunu söyledi. Bu özellik, N8N_RUNNERS_ENABLED ve N8N_NATIVE_PYTHON_RUNNER ortam değişkenleri yapılandırılarak etkinleştirilebilir. Sürüm 2.0.0’ın piyasaya sürülmesiyle uygulama varsayılan hale getirildi.
Geçici çözüm olarak n8n, kullanıcıların aşağıda özetlenen adımları izlemesini öneriyor:
- NODES_EXCLUDE ortam değişkenini ayarlayarak Kod Düğümünü devre dışı bırakın: “[\”n8n-nodes-base.code\”]”
- N8N_PYTHON_ENABLED=false ortam değişkenini ayarlayarak Kod düğümünde Python desteğini devre dışı bırakın
- N8n’yi, N8N_RUNNERS_ENABLED ve N8N_NATIVE_PYTHON_RUNNER ortam değişkenleri aracılığıyla görev çalıştırıcısı tabanlı Python sanal alanını kullanacak şekilde yapılandırın
Açıklama, n8n’in belirli koşullar altında rastgele kod yürütülmesine neden olabilecek başka bir kritik güvenlik açığını (CVE-2025-68613, CVSS puanı: 9,9) ele almasıyla geldi.