Новая уязвимость в n8n

Новая уязвимость в n8n (9.9 по шкале CVSS) позволяет аутентифицированным пользователям выполнять системные команды В n8n, платформе для автоматизации рабочих процессов с открытым исходным кодом, обнаружена критическая уязвимость, которая может позволить аутентифицированному атакующему выполнить произвольные системные команды на хосте, на котором работает n8n. Уязвимость, обозначенная как CVE-2025-68668, оценивается на 9.9 баллов по шкале CVSS и описана как ошибка в механизме защиты. Она затрагивает версии n8n с 1.0.0 по, но не включая, 2.0.0 и позволяет аутентифицированному пользователю с правами на создание или изменение рабочих процессов выполнять произвольные команды операционной системы на хосте, на котором работает n8n. Проблема была исправлена в версии 2.0.0. «В Python Code Node, использующем Pyodide, существует уязвимость обхода песочницы», — говорится в уведомлении о данной уязвимости. «Аутентифицированный пользователь с правами на создание или изменение рабочих процессов может использовать эту уязвимость для выполнения произвольных команд на хосте, на котором работает n8n, с теми же привилегиями, что и процесс n8n.» В n8n сообщили, что в версии 1.111.0 была внедрена базовая нативная реализация Python через task runner для улучшенной изоляции безопасности. Эта функция может быть активирована с помощью конфигурации переменных окружения N8N_RUNNERS_ENABLED и N8N_NATIVE_PYTHON_RUNNER. С выходом версии 2.0.0 реализация стала по умолчанию.