Se ha revelado una nueva vulnerabilidad de seguridad crítica en n8n, una plataforma de automatización de flujo de trabajo de código abierto, que podría permitir a un atacante autenticado ejecutar comandos arbitrarios del sistema en el host subyacente.
Esta vulnerabilidad se rastrea como CVE-2025-68668 y tiene una calificación de 9,9 en el sistema de puntuación CVSS. Esto se describe como un caso de falla de un mecanismo de protección.
Esto afecta a las versiones de n8n desde 1.0.0 a 2.0.0 y permite a usuarios autenticados con privilegios crear o modificar flujos de trabajo para ejecutar comandos arbitrarios del sistema operativo en hosts que ejecutan n8n. Este problema se resolvió en la versión 2.0.0.
El aviso para esta falla dice: «Existe una vulnerabilidad de omisión de sandbox en los nodos de código Python que usan Pyodide». «Un usuario autenticado con privilegios para crear o modificar flujos de trabajo podría aprovechar esta vulnerabilidad para ejecutar comandos arbitrarios en un sistema host que ejecute n8n con los mismos privilegios que el proceso n8n».
N8n dijo que en la versión 1.111.0 introdujo una implementación nativa de Python basada en un ejecutor de tareas como una característica opcional para mejorar el aislamiento de seguridad. Esta característica se puede habilitar configurando las variables de entorno N8N_RUNNERS_ENABLED y N8N_NATIVE_PYTHON_RUNNER. Con el lanzamiento de la versión 2.0.0, esta implementación ahora es la predeterminada.
Como solución alternativa, n8n recomienda a los usuarios seguir los pasos a continuación.
Configure la variable de entorno NODES_EXCLUDE: «(\»n8n-nodes-base.code\»)» para deshabilitar los nodos de código. Deshabilite la compatibilidad con Python en el nodo de código configurando la variable de entorno N8N_PYTHON_ENABLED=false. Configure n8n para utilizar un entorno limitado de Python basado en ejecutor de tareas a través de las variables de entorno N8N_RUNNERS_ENABLED y N8N_NATIVE_PYTHON_RUNNER.
Esta divulgación se produce después de que n8n abordara otra vulnerabilidad crítica (CVE-2025-68613, puntuación CVSS: 9,9) que podría provocar la ejecución de código arbitrario en determinadas circunstancias.
Source link
