CVE-2025-68668 n8n-Schwachstelle
Cybersicherheitsforscher haben eine schwerwiegende neue Sicherheitslücke in n8n, der beliebten Open-Source-Plattform für Workflow-Automatisierung, aufgedeckt. Der Fehler könnte es einem authentifizierten Angreifer ermöglichen, beliebige Betriebssystembefehle auf dem zugrunde liegenden Server auszuführen und so potenziell das gesamte System zu kompromittieren.
Das Problem ist unter der CVE-Nummer CVE-2025-68668 erfasst und weist einen CVSS-Wert von 9,9 auf, wodurch es eindeutig in die Kategorie „kritisch“ eingestuft wird. Es wurde als Versagen eines Schutzmechanismus klassifiziert.
Inhaltsverzeichnis
Wer ist gefährdet und warum ist das wichtig?
Diese Sicherheitslücke betrifft n8n-Versionen 1.0.0 bis einschließlich 2.0.0. Jeder authentifizierte Benutzer mit Berechtigung zum Erstellen oder Ändern von Workflows könnte die Schwachstelle ausnutzen, um Systembefehle mit denselben Berechtigungen wie der n8n-Prozess auszuführen.
Die Schwachstelle beruht auf einer Umgehung der Sandbox im Python Code Node, die auf Pyodide basiert. Durch Ausnutzung dieser Komponente kann ein Angreifer die vorgesehene Ausführungsumgebung verlassen und direkt mit dem Host-Betriebssystem interagieren.
Das Problem wurde in n8n Version 2.0.0 vollständig behoben.
Technischer Fehler: Python-Sandbox-Escape
Laut offizieller Warnung waren die Sandbox-Kontrollen des Python Code Node unzureichend, wodurch Angreifer Beschränkungen umgehen und beliebige Befehle ausführen konnten. Dies erhöht das Risikoprofil betroffener Systeme erheblich, insbesondere in Umgebungen, in denen mehrere Benutzer Workflows entwerfen oder bearbeiten können.
n8ns Sicherheitsverbesserungen und langfristige Lösung
Als Reaktion auf die zunehmenden Bedenken hinsichtlich Sandboxing führte n8n in Version 1.111.0 ein auf Task-Runnern basierendes natives Python-Ausführungsmodell als optionale, sicherere und isolierte Funktion ein. Dieses Modell kann über die Umgebungsvariablen N8N_RUNNERS_ENABLED und N8N_NATIVE_PYTHON_RUNNER aktiviert werden.
Mit der Veröffentlichung von Version 2.0.0 ist diese sicherere Implementierung nun standardmäßig aktiviert, wodurch die Sicherheitslücke effektiv geschlossen wird.
Empfohlene Maßnahmen zur Risikominderung bei ungepatchten Systemen
Bis ein Upgrade auf Version 2.0.0 möglich ist, empfiehlt n8n die Anwendung der folgenden temporären Sicherheitsvorkehrungen:
Deaktivieren Sie den Code-Knoten vollständig durch folgende Einstellung :
NODES_EXCLUDE: ['n8n-nodes-base.code']
Deaktivieren Sie die Python-Unterstützung im Code-Knoten durch folgende Einstellung :
N8N_PYTHON_ENABLED=false
Erzwingen der Nutzung der Task-Runner-basierten Python-Sandbox über :
N8N_RUNNERS_ENABLED und N8N_NATIVE_PYTHON_RUNNER
Diese Maßnahmen verringern das Risiko eines Ausbruchs aus der Sandbox und der Ausführung von Befehlen erheblich.
Teil eines besorgniserregenden Trends
Diese Veröffentlichung folgt unmittelbar auf eine weitere kritische n8n-Schwachstelle, CVE-2025-68613 (ebenfalls mit 9,9 CVSS bewertet), die unter bestimmten Bedingungen ebenfalls zur Ausführung beliebigen Codes führen kann. Zusammengenommen unterstreichen diese Probleme die dringende Notwendigkeit für Administratoren, Aktualisierungen zu priorisieren und Workflow-Berechtigungen einzuschränken.
