کمیته رکن چهارم – یک آسیبپذیری امنیتی بحرانی با شناسه CVE-2025-68613 در پلتفرم متنباز n8n شناسایی شده که با نمره CVSS 9.9، امکان اجرای کد دلخواه را برای مهاجمان احراز هویتشده فراهم میکند. این آسیبپذیری بهویژه در محیطهایی که گردشکارها توسط کاربران مختلف پیکربندی میشوند، خطرآفرین است.
به گزارش کمیته رکن چهارم، این نقص امنیتی از نسخه ۰.۲۱۱.۰ تا قبل از ۱.۱۲۰.۴ وجود داشته و در نسخههای ۱.۱۲۰.۴، ۱.۱۲۱.۱ و ۱.۱۲۲.۰ اصلاح شده است. در این آسیبپذیری، عبارات تعریفشده توسط کاربران ممکن است در محیطی ارزیابی شوند که بهدرستی از هسته اجرایی n8n ایزوله نشده است. در نتیجه، مهاجم میتواند دستورات سیستمی را در سطح کاربر n8n اجرا کرده و به دادههای حساس یا گردشکارهای دیگر دسترسی یابد.
پلتفرم Censys اعلام کرده که تاکنون بیش از ۱۰۳٬۰۰۰ نمونه آسیبپذیر از n8n در سطح اینترنت شناسایی شدهاند که بیشترین آنها در آمریکا، آلمان، فرانسه، برزیل و سنگاپور مستقرند.
با توجه به شدت آسیبپذیری، کاربران باید فوراً نسبت به بهروزرسانی به نسخههای اصلاحشده اقدام کنند. در صورت عدم امکان بهروزرسانی فوری، توصیه میشود دسترسی به امکانات ساخت و ویرایش گردشکار را محدود و n8n را در محیطی سختسازیشده اجرا کنند.
