- CVE-2025-68668 di Node Kode Python n8n memungkinkan eksekusi perintah sistem sewenang-wenang
- Penyerang dengan izin alur kerja dapat melewati kotak pasir Pyodide, sehingga berisiko menimbulkan malware, pencurian data, dan gangguan sistem
- Diperbaiki di n8n v1.111.0; v2.0.0 default untuk mengamankan isolasi Python task-runner
Kerentanan dengan tingkat keparahan kritis baru-baru ini ditemukan di n8n, yang memungkinkan pelaku ancaman menjalankan kode arbitrer pada sistem yang mendasarinya.
n8n adalah platform otomatisasi alur kerja sumber terbuka yang memungkinkan pengguna menghubungkan aplikasi, API, dan layanan untuk mengotomatiskan tugas tanpa pengkodean yang berat. Hal ini memungkinkan pengguna untuk membangun alur kerja visual yang memindahkan data antar alat, memicu tindakan, dan menjalankan logika khusus.
Dalam nasihat keamanan yang diposting di GitHub, dipastikan bahwa kerentanan bypass sandbox ada di Node Kode Python yang menggunakan Pyodide, runtime Python untuk browser dan lingkungan JavaScript lainnya.
Tingkat keparahan 9,9/10
Cacat ini memungkinkan pengguna yang tidak diautentikasi dengan izin untuk membuat atau memodifikasi alur kerja untuk menjalankan perintah sewenang-wenang pada sistem host yang menjalankan n8n, menggunakan hak yang sama seperti proses n8n.
Penyakit ini dilacak sebagai CVE-2025-68668, dan diberi skor tingkat keparahan 9,9/10 (kritis).
Secara teori, penyerang dengan akun yang valid dan izin pengeditan alur kerja dapat menyematkan kode Python yang dibuat khusus ke dalam Node Kode Python alur kerja, keluar dari Pyodide dan menjalankan perintah tingkat sistem. Setelah perintah sewenang-wenang dapat dijalankan di host, penyerang dapat menyebarkannya perangkat lunak perusak atau pintu belakang, mencuri data sensitif, bergerak ke samping di seluruh jaringan, mengubah dan mengganggu alur kerja, dan sepenuhnya membahayakan sistem yang mendasarinya.
Kerentanan telah diperbaiki di n8n versi 1.111.0, dengan penambahan implementasi Python asli berbasis task-runner yang menyediakan “model isolasi yang lebih aman.” Implementasinya diperkenalkan sebagai fitur opsional yang dapat diaktifkan pengguna dengan mengonfigurasi variabel lingkungan N8N_RUNNERS_ENABLED dan N8N_NATIVE_PYTHON_RUNNER.
Implementasi ini menjadi default dimulai dengan n8n versi 2.0.0, demikian dinyatakan dalam penasehat.
Mereka yang tidak dapat meningkatkan ke versi terbaru dapat menggunakan beberapa solusi yang tersedia, termasuk menonaktifkan Node Kode, menonaktifkan dukungan Python di Node Kode, atau mengonfigurasi n8n untuk menggunakan kotak pasir Python berbasis task runner.
Melalui berita siber
Antivirus terbaik untuk semua anggaran
Ikuti TechRadar di Google Berita Dan tambahkan kami sebagai sumber pilihan untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol Ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok untuk berita, review, unboxing dalam bentuk video, dan dapatkan update rutin dari kami Ada apa juga.
