深入解析n8n工作流自动化平台的Python沙箱绕过高危漏洞CVE-2025-68668

本文详细分析了一个存在于n8n工作流自动化平台中的关键漏洞(CVE-2025-68668)。该漏洞源于Python代码节点中的沙箱保护机制失效,允许经过身份验证的攻击者在主机系统上执行任意命令。文章涵盖了技术细节、潜在影响、修复方案及缓解措施。

CVE-2025-68668: CWE-693: n8n-io n8n中的保护机制失效

严重性:严重 类型:漏洞

描述

n8n是一个开源的工作流自动化平台。从版本1.0.0到2.0.0之前,在使用Pyodide的Python代码节点中存在一个沙箱绕过漏洞。拥有创建工作流或修改工作流权限的已认证用户可以利用此漏洞,以与n8n进程相同的权限,在运行n8n的主机系统上执行任意命令。此问题已在版本2.0.0中修复。针对此问题的临时解决方案包括:通过设置环境变量 NODES_EXCLUDE: "[\"n8n-nodes-base.code\"]" 来禁用代码节点;通过设置环境变量 N8N_PYTHON_ENABLED=false 来禁用代码节点中的Python支持(此功能自n8n版本1.104.0引入);以及通过环境变量 N8N_RUNNERS_ENABLEDN8N_NATIVE_PYTHON_RUNNER 配置n8n以使用基于任务运行器的Python沙箱。

AI分析

技术总结

CVE-2025-68668是在n8n开源工作流自动化平台中识别出的一个关键漏洞,具体影响从1.0.0到2.0.0(不含)的版本。该漏洞源于Python代码节点中的沙箱绕过,该节点利用Pyodide在工作流内执行Python代码。通常,沙箱会限制代码执行以防止未经授权的系统访问;然而,由于保护机制失效(CWE-693),拥有创建工作流或修改工作流权限的已认证用户可以绕过这些限制。这使得攻击者能够以与n8n进程相同的权限在主机操作系统上执行任意命令,根据分配给n8n的权限,可能导致整个系统被攻陷。此漏洞不需要用户交互,但确实需要具备特定工作流修改权限的身份验证,这使得内部威胁或账户被盗用的情况尤为危险。该漏洞的CVSS v3.1评分为9.9,表明其严重性为"严重",具有网络攻击向量、低攻击复杂度、需要权限、无需用户交互以及范围变更,对机密性和完整性的影响很高,对可用性的影响较小。该问题已在n8n版本2.0.0中修复。在打补丁之前,缓解措施包括:通过设置环境变量 NODES_EXCLUDE 来排除 "n8n-nodes-base.code" 以完全禁用代码节点;通过 N8N_PYTHON_ENABLED=false 禁用代码节点中的Python支持(自版本1.104.0起可用);或通过环境变量 N8N_RUNNERS_ENABLEDN8N_NATIVE_PYTHON_RUNNER 配置n8n以使用基于任务运行器的Python沙箱。这些缓解措施通过更安全地限制或沙箱化Python代码执行,减少或消除了攻击面。目前尚未有已知的野外利用报告,但其严重性和易于利用的特性使其成为使用受影响n8n版本的组织需要优先处理的问题。

潜在影响

对于欧洲组织而言,CVE-2025-68668的影响可能是严重的。由于n8n用于自动化工作流,包括关键业务流程,利用此漏洞可能导致在托管n8n的服务器上执行未经授权的命令,从而可能导致数据泄露、系统操纵或网络内的横向移动。机密性面临高风险,因为攻击者可以访问由n8n工作流处理或存储的敏感数据。完整性受到损害,因为攻击者可以更改工作流或数据输出,破坏业务运营或注入恶意操作。可用性影响为中等但仍很显著,因为攻击者可能中断自动化服务,导致运营停机。依赖自动化工作流的行业,如金融、医疗保健、制造业和关键基础设施领域的组织尤其脆弱。对身份验证访问的要求意味着被盗用的凭证或内部威胁可能触发漏洞利用。鉴于其严重的CVSS评分以及执行任意命令的能力,该威胁可能促进勒索软件部署、间谍活动或破坏活动。使用易受攻击的n8n版本且未采取缓解措施的欧洲实体面临着严重的运营和声誉损害的高风险。

缓解建议

欧洲组织应立即将n8n安装升级到2.0.0或更高版本,其中已修复此漏洞。如果无法立即升级,请实施以下缓解措施:

  1. 通过设置环境变量 NODES_EXCLUDE 来排除 "n8n-nodes-base.code",以禁用Python代码节点,从而防止使用易受攻击的节点。
  2. 通过设置 N8N_PYTHON_ENABLED=false 禁用代码节点中的Python支持(自n8n版本1.104.0起可用),以阻止Python代码执行。
  3. 通过启用环境变量 N8N_RUNNERS_ENABLEDN8N_NATIVE_PYTHON_RUNNER 配置n8n以使用基于任务运行器的Python沙箱,这提供了一个更安全的沙箱环境。
  4. 将工作流创建和修改权限限制为仅限受信任的管理员,以最小化未经授权用户利用漏洞的风险。
  5. 监控日志中是否存在可疑的工作流更改或异常的命令执行。
  6. 如果发生利用,采用网络分段和基于主机的入侵检测来检测和防止横向移动。
  7. 实施强身份验证和凭证管理,以降低账户被盗用的风险。 这些针对性的缓解措施可以在完成修补之前减少攻击面和暴露风险。

受影响国家

德国、法国、英国、荷兰、瑞典、瑞士、比利时、意大利

来源: CVE 数据库 V5 发布日期: 2025年12月26日,星期五

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次