- N8n’nin Python Kod Düğümünde bulunan CVE-2025-68668, isteğe bağlı sistem komutlarının yürütülmesine olanak sağlar
- İş akışı izinlerine sahip saldırganlar Pyodide sanal alanını atlayarak kötü amaçlı yazılım, veri hırsızlığı ve sistemin tehlikeye atılması riskine girebilir
- n8n v1.111.0’da düzeltildi; v2.0.0 varsayılan olarak görev çalıştırıcı Python izolasyonunu güvence altına alır
Yakın zamanda n8n’de, tehdit aktörlerinin temel sistem üzerinde rastgele kod çalıştırmasına olanak tanıyan kritik önemde bir güvenlik açığı bulundu.
n8n, kullanıcıların uygulamaları, API’leri ve hizmetleri ağır kodlamaya gerek kalmadan görevleri otomatikleştirmek için bağlamasına olanak tanıyan açık kaynaklı bir iş akışı otomasyon platformudur. Kullanıcıların, verileri araçlar arasında taşıyan, eylemleri tetikleyen ve özel mantığı çalıştıran görsel iş akışları oluşturmasına olanak tanır.
GitHub’da yayınlanan bir güvenlik tavsiyesinde, tarayıcı ve diğer JavaScript ortamları için bir Python çalışma zamanı olan Pyodide’yi kullanan Python Kod Düğümünde bir sanal alan atlama güvenlik açığının mevcut olduğu doğrulandı.
Şiddet 9,9/10
Bu kusur, kimliği doğrulanmamış kullanıcıların, n8n işlemiyle aynı ayrıcalıkları kullanarak n8n çalıştıran ana bilgisayar sisteminde rastgele komutlar yürütmek üzere iş akışları oluşturma veya değiştirme iznine sahip olmasına olanak tanıyor.
CVE-2025-68668 olarak izleniyor ve 9,9/10 (kritik) ciddiyet puanı veriliyor.
Teorik olarak, geçerli bir hesaba ve iş akışı düzenleme izinlerine sahip bir saldırgan, özel hazırlanmış Python kodunu bir iş akışının Python Kod Düğümüne gömerek Pyodide’ı kırabilir ve sistem düzeyinde komutları çağırabilir. Ana makinede rastgele komutlar çalıştırıldığında saldırganlar konuşlandırılabilir. kötü amaçlı yazılım veya arka kapıları çalabilir, hassas verileri çalabilir, ağ boyunca yanal olarak hareket edebilir, iş akışlarını değiştirebilir ve bozabilir ve temel sistemi tamamen tehlikeye atabilir.
Güvenlik açığı, “daha güvenli bir izolasyon modeli” sağlayan görev çalıştırıcı tabanlı yerel Python uygulamasının eklenmesiyle n8n sürüm 1.111.0’da düzeltildi. Uygulama, kullanıcıların N8N_RUNNERS_ENABLED ve N8N_NATIVE_PYTHON_RUNNER ortam değişkenlerini yapılandırarak etkinleştirebileceği isteğe bağlı bir özellik olarak tanıtıldı.
Bu uygulamanın, n8n sürüm 2.0.0’dan itibaren varsayılan hale geldiği, danışma belgesinde söylendi.
En yeni sürüme yükseltme yapamayanlar, Code Node’u devre dışı bırakmak, Code Node’da Python desteğini devre dışı bırakmak veya n8n’yi görev çalıştırıcı tabanlı Python sanal alanını kullanacak şekilde yapılandırmak dahil olmak üzere mevcut geçici çözümlerden bazılarını kullanabilir.
Aracılığıyla Siber haberler
Her bütçeye uygun en iyi antivirüs
TechRadar’ı Google Haberler’de takip edin Ve bizi tercih edilen kaynak olarak ekleyin Akışlarınızda uzman haberlerimizi, incelemelerimizi ve görüşlerimizi almak için. Takip Et butonuna tıklamayı unutmayın!
Ve tabii ki siz de yapabilirsiniz TechRadar’ı TikTok’ta takip edin haberler, incelemeler ve video biçimindeki kutu açma işlemleri için bizden düzenli olarak güncellemeler alın WhatsApp fazla.