BerandaTechnoSecurity
Security

Kerentanan n8n Baru (9.9 CVSS) Memungkinkan Pengguna Terautentikasi untuk Menjalankan Perintah Sistem

Benny Hidayat
Editor : Benny Hidayat
Benny Hidayat
Editor : Benny Hidayat
n8n
n8n

Sebuah kerentanan keamanan kritis baru telah terungkap di n8n, platform otomatisasi alur kerja sumber terbuka, yang dapat memungkinkan penyerang yang terautentikasi untuk mengeksekusi perintah sistem sembarangan pada host yang mendasarinya.

Kerentanan tersebut, yang dilacak sebagai CVE-2025-68668, diberi peringkat 9,9 pada sistem penilaian CVSS. Kerentanan ini digambarkan sebagai kasus kegagalan mekanisme perlindungan. Vladimir Tokarev dan Ofek Itach dari Cyera Research Labs dikreditkan sebagai penemu dan pelapor celah keamanan ini, yang diberi kode nama N8scape.

Kerentanan ini memengaruhi versi n8n mulai dari 1.0.0 hingga, tetapi tidak termasuk, 2.0.0, dan memungkinkan pengguna terautentikasi dengan izin untuk membuat atau memodifikasi alur kerja untuk mengeksekusi perintah sistem operasi sembarangan pada host yang menjalankan n8n. Masalah ini telah diatasi pada versi 2.0.0.

Baca Juga: 
Melindungi Diri dari Serangan Malware WordPress Terbaru

“Terdapat kerentanan bypass sandbox pada Python Code Node yang menggunakan Pyodide,” demikian pernyataan dalam pemberitahuan tentang kerentanan tersebut. “Pengguna terautentikasi dengan izin untuk membuat atau memodifikasi alur kerja dapat mengeksploitasi kerentanan ini untuk mengeksekusi perintah sembarangan pada sistem host yang menjalankan n8n, menggunakan hak akses yang sama dengan proses n8n.”

N8n menyatakan telah memperkenalkan implementasi Python asli berbasis task runner pada versi 1.111.0 sebagai fitur opsional untuk meningkatkan isolasi keamanan. Fitur ini dapat diaktifkan dengan mengkonfigurasi variabel lingkungan N8N_RUNNERS_ENABLED dan N8N_NATIVE_PYTHON_RUNNER. Dengan dirilisnya versi 2.0.0, implementasi tersebut telah dijadikan default.

Sebagai solusi sementara, n8n merekomendasikan agar pengguna mengikuti langkah-langkah yang diuraikan di bawah ini:
– Nonaktifkan Node Kode dengan mengatur environment variable NODES_EXCLUDE: “[\”n8n-nodes-base.code\”]”
– Nonaktifkan dukungan Python di node Kode dengan mengatur environment variable N8N_PYTHON_ENABLED=false
– Konfigurasi n8n untuk menggunakan sandbox Python berbasis task runner melalui environment variable N8N_RUNNERS_ENABLED dan N8N_NATIVE_PYTHON_RUNNER

Baca Juga: 
Cara Membuat SSH Key di Windows 11

Pengungkapan ini terjadi bersamaan dengan penanganan kerentanan kritis lainnya oleh n8n (CVE-2025-68613, skor CVSS: 9.9) yang dapat mengakibatkan eksekusi kode sembarangan dalam keadaan tertentu.






Reporter: Adi Prabowo

Sebuah kerentanan keamanan kritis baru telah terungkap di n8n, platform otomatisasi alur kerja sumber terbuka, yang dapat memungkinkan penyerang yang terautentikasi untuk mengeksekusi perintah sistem sembarangan pada host yang mendasarinya.

Kerentanan tersebut, yang dilacak sebagai CVE-2025-68668, diberi peringkat 9,9 pada sistem penilaian CVSS. Kerentanan ini digambarkan sebagai kasus kegagalan mekanisme perlindungan. Vladimir Tokarev dan Ofek Itach dari Cyera Research Labs dikreditkan sebagai penemu dan pelapor celah keamanan ini, yang diberi kode nama N8scape.

Kerentanan ini memengaruhi versi n8n mulai dari 1.0.0 hingga, tetapi tidak termasuk, 2.0.0, dan memungkinkan pengguna terautentikasi dengan izin untuk membuat atau memodifikasi alur kerja untuk mengeksekusi perintah sistem operasi sembarangan pada host yang menjalankan n8n. Masalah ini telah diatasi pada versi 2.0.0.

Baca Juga: 
Aplikasi Google Authenticator Baru Menggunakan 2FA Baru yang Praktis

“Terdapat kerentanan bypass sandbox pada Python Code Node yang menggunakan Pyodide,” demikian pernyataan dalam pemberitahuan tentang kerentanan tersebut. “Pengguna terautentikasi dengan izin untuk membuat atau memodifikasi alur kerja dapat mengeksploitasi kerentanan ini untuk mengeksekusi perintah sembarangan pada sistem host yang menjalankan n8n, menggunakan hak akses yang sama dengan proses n8n.”

N8n menyatakan telah memperkenalkan implementasi Python asli berbasis task runner pada versi 1.111.0 sebagai fitur opsional untuk meningkatkan isolasi keamanan. Fitur ini dapat diaktifkan dengan mengkonfigurasi variabel lingkungan N8N_RUNNERS_ENABLED dan N8N_NATIVE_PYTHON_RUNNER. Dengan dirilisnya versi 2.0.0, implementasi tersebut telah dijadikan default.

Sebagai solusi sementara, n8n merekomendasikan agar pengguna mengikuti langkah-langkah yang diuraikan di bawah ini:
– Nonaktifkan Node Kode dengan mengatur environment variable NODES_EXCLUDE: “[\”n8n-nodes-base.code\”]”
– Nonaktifkan dukungan Python di node Kode dengan mengatur environment variable N8N_PYTHON_ENABLED=false
– Konfigurasi n8n untuk menggunakan sandbox Python berbasis task runner melalui environment variable N8N_RUNNERS_ENABLED dan N8N_NATIVE_PYTHON_RUNNER

Baca Juga: 
Kelemahan Kritis n8n (CVSS 9.9) Memungkinkan Eksekusi Kode Sembarangan di Ribuan Instans

Pengungkapan ini terjadi bersamaan dengan penanganan kerentanan kritis lainnya oleh n8n (CVE-2025-68613, skor CVSS: 9.9) yang dapat mengakibatkan eksekusi kode sembarangan dalam keadaan tertentu.






Reporter: Adi Prabowo

Untuk mendapatkan Berita & Review menarik Saksenengku Network
Google News
Artikel Sebelumnya
Kelemahan Kritis n8n (CVSS 9.9) Memungkinkan Eksekusi Kode Sembarangan di Ribuan Instans
Artikel Berikutnyanya
Kerentanan Bypass TCC macOS baru Memungkinkan Penyerang Mengakses Data Pengguna yang Sensitif

Artikel Terkait

Terpopuler