n8n یک پلتفرم متنباز برای خودکارسازی گردشکارها (workflow automation) است. از نسخه 1.0.0 تا قبل از نسخه 2.0.0، یک آسیبپذیری دور زدن sandbox در گره کد پایتون که از Pyodide استفاده میکند وجود دارد. یک کاربر احراز هویتشده که مجوز ایجاد یا ویرایش گردشکارها را دارد، میتواند از این آسیبپذیری سوءاستفاده کرده و دستورات دلخواه را روی سیستم میزبان در حال اجرای n8n اجرا کند؛ آن هم با همان سطح دسترسی فرایند n8n .
محصولات آسیبپذیر
نسخه 1.0.0 تا قبل از نسخه 2.0.0
توصیههای امنیتی
به کاربران توصیه میشود در صورت استفاده از این پلتفرم آن را به نسخه 2.0.0 بهروزرسانی نمایند. راهکارهای موقت برای این آسیبپذیری شامل موارد زیر است:
- غیرفعالکردن Code Node با تنظیم متغیر محیطی
NODES_EXCLUDE: "[\"n8n-nodes-base.code\"]" - غیرفعالکردن پشتیبانی پایتون در Code Node با تنظیم متغیر محیطی
N8N_PYTHON_ENABLED=false
این قابلیت از نسخه 1.104.0 در n8n اضافه شده است - پیکربندی n8n برای استفاده از sandbox پایتون مبتنی بر task runner از طریق متغیرهای محیطی
N8N_RUNNERS_ENABLED و N8N_NATIVE_PYTHON_RUNNER
منبع خبر
https://nvd.nist.gov/vuln/detail/CVE-2025-68668
- 50