È stata scoperta una nuova vulnerabilità di sicurezza critica in n8n, una piattaforma di automazione del flusso di lavoro open-source, che potrebbe consentire a un attaccante autenticato di eseguire comandi di sistema arbitrari sull’host sottostante. La vulnerabilità, tracciata come CVE-2025-68668, ha un punteggio di 9,9 nel sistema di punteggio CVSS e viene descritta come un caso di fallimento del meccanismo di protezione.
Dettagli della vulnerabilità
La vulnerabilità colpisce le versioni di n8n da 1.0.0 a 2.0.0 (esclusa) e consente a un utente autenticato con autorizzazione a creare o modificare flussi di lavoro di eseguire comandi di sistema arbitrari sull’host che esegue n8n. Il problema è stato risolto nella versione 2.0.0. Una vulnerabilità di bypass del sandbox esiste nel nodo del codice Python che utilizza Pyodide, come affermato in un avviso per il difetto. Un utente autenticato con autorizzazione a creare o modificare flussi di lavoro può sfruttare questa vulnerabilità per eseguire comandi arbitrari sul sistema host in esecuzione su n8n, utilizzando gli stessi privilegi del processo n8n.
Soluzioni e raccomandazioni
N8n ha introdotto un’implementazione nativa di Python basata su task runner nella versione 1.111.0 come funzionalità opzionale per un miglioramento dell’isolamento della sicurezza. La funzionalità può essere abilitata configurando le variabili di ambiente N8N_RUNNERS_ENABLED e N8N_NATIVE_PYTHON_RUNNER. Con il rilascio della versione 2.0.0, l’implementazione è diventata predefinita. Come soluzioni alternative, n8n consiglia agli utenti di seguire i passaggi riportati di seguito: disabilitare il nodo del codice impostando la variabile di ambiente NODES_EXCLUDE, disabilitare il supporto Python nel nodo del codice impostando la variabile di ambiente N8N_PYTHON_ENABLED=false, configurare n8n per utilizzare il sandbox di Python basato su task runner tramite le variabili di ambiente N8N_RUNNERS_ENABLED e N8N_NATIVE_PYTHON_RUNNER.
