Giriş
n8n, açık kaynaklı bir iş akışı otomasyon platformunda kritik bir güvenlik açığı tespit edilmiştir. Bu açık, kimlik doğrulaması yapılmış bir saldırganın sistem üzerinde keyfi komutlar çalıştırmasına olanak tanımaktadır.
Açığın Tanımlanması
Güvenlik açığı, CVE-2025-68668 kodu altında sınıflandırılmış olup, CVSS puanlama sisteminde 9.9 olarak değerlendirilmiştir. Açık, n8n’nin 1.0.0 ile 2.0.0 versiyonu arasındaki sürümleri etkilemekte ve kimliği doğrulanmış kullanıcıların iş akışlarını oluşturma veya düzenleme yetkisi ile işletim sistemine keyfi komutlar çalıştırmasına olanak tanımaktadır. Bu sorun, 2.0.0 sürümü ile giderilmiştir.
Saldırı Nasıl Çalışıyor?
Python Code Node içinde bulunan bir “sandbox bypass” açığı, n8n’nin güvenlik mekanizmasını aşabilmektedir. Yetkili bir kullanıcı, iş akışlarını oluşturma veya düzenleme iznine sahip olduğunda, bu açığı kullanarak n8n’nin çalıştığı sistemde keyfi komutlar çalıştırabilir.
Etkilenen Sistemler
Açık, aşağıdaki n8n sürümlerini etkilemektedir:
- 1.0.0 ve üzeri, 2.0.0 hariç tüm sürümler
Çözüm ve Korunma
n8n, güvenlik izolasyonunu artırmak amacıyla 1.111.0 sürümünde görev yöneticisi tabanlı yerel Python uygulaması eklemiştir. Kullanıcıların aşağıdaki geçici çözümleri uygulamaları önerilmektedir:
- Çevresel değişken NODES_EXCLUDE’i ayarlayarak Code Node’unu devre dışı bırakın: “[“n8n-nodes-base.code”]”
- Code Node’da Python desteğini devre dışı bırakmak için çevresel değişken N8N_PYTHON_ENABLED’i false yapın.
- N8N_RUNNERS_ENABLED ve N8N_NATIVE_PYTHON_RUNNER çevresel değişkenlerini ayarlayarak görev yöneticisi tabanlı Python sandbox’ını yapılandırın.
Sonuç
Eğer n8n kullanıyorsanız, hemen 2.0.0 sürümüne güncelleyin ve yukarıda belirtilen geçici çözümleri uygulayarak sisteminizi koruma altına alın. Ayrıca, sistem üzerinde gereksiz yetkilere sahip kullanıcıların erişimlerini gözden geçirerek olası riskleri azaltmalısınız.
