ðĻ āļāļĢāļ§āļāļŠāļāļāđāļĨāļ°āđāļāđāđāļāļāđāļ§āļ! āļāđāļāļāđāļŦāļ§āđāļĢāļ°āļāļąāļāļ§āļīāļāļĪāļāļāļāđāļāļĨāļāļāļāļĢāđāļĄ Workflow Automation Platform n8n
-
āļāļĢāļ§āļāļŠāļāļāđāļĨāļ°āđāļāđāđāļāļāđāļ§āļ! āļāđāļāļāđāļŦāļ§āđāļĢāļ°āļāļąāļāļ§āļīāļāļĪāļāļāļāđāļāļĨāļāļāļāļĢāđāļĄ Workflow Automation Platform n8n āļāļēāļāļāļđāļāļāļģāđāļāđāļāđāđāļāļ·āđāļāļŦāļĨāļĩāļāđāļĨāļĩāđāļĒāļāļāļĨāđāļ Sandbox āļ āļēāļĒāđāļ Python Code Node āļŠāđāļāļāļĨāđāļŦāđāļĢāļ°āļāļāļĄāļĩāļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļāļāđāļāļāļēāļĢāđāļĢāļĩāļĒāļāđāļāđāļāļēāļāļāļģāļŠāļąāđāļāđāļāļĒāđāļĄāđāđāļāđāļĢāļąāļāļāļāļļāļāļēāļ
ïļ āļŦāļēāļāđāļĄāđāļāļģāđāļāļīāļāļāļēāļĢāđāļāđāđāļ āļāđāļāļāđāļŦāļ§āđāļāļĩāđāļāļēāļāļŠāđāļāļāļĨāđāļŦāđāļĢāļ°āļāļāļĄāļĩāļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļāļāđāļāļāļēāļĢāļāļđāļāđāļāđāļēāļāļķāļāļŦāļĢāļ·āļāļāļ§āļāļāļļāļĄāđāļāļĒāđāļĄāđāđāļāđāļĢāļąāļāļāļāļļāļāļēāļ āļāļĢāļ°āļāļāļāđāļāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒāļāļāļāļĢāļ°āļāļāļŠāļēāļĢāļŠāļāđāļāļĻāļāļāļāļŦāļāđāļ§āļĒāļāļēāļ āļĢāļ§āļĄāļāļķāļāļāļēāļāļāļģāđāļāļŠāļđāđāļāļēāļĢāđāļāļĨāļĩāđāļĒāļāđāļāļĨāļāļāļēāļĢāļāļąāđāļāļāđāļēāļĢāļ°āļāļ āļāļēāļĢāļĢāļāļāļ§āļāļāļēāļĢāđāļŦāđāļāļĢāļīāļāļēāļĢ āļŦāļĢāļ·āļāļāļ§āļēāļĄāđāļŠāļĩāļĒāļŦāļēāļĒāļāđāļāļāđāļāļĄāļđāļĨāđāļĨāļ°āļāļ§āļēāļĄāļāđāļēāđāļāļ·āđāļāļāļ·āļāļāļāļāļĢāļ°āļāļ
āļĢāļēāļĒāļĨāļ°āđāļāļĩāļĒāļāļāđāļāļāđāļŦāļ§āđ
âĒ CVE-2025-68668 āđāļāđāļāļāđāļāļāđāļŦāļ§āđāļāļĩāđāļĄāļĩāļĢāļ°āļāļąāļāļāļ§āļēāļĄāļĢāļļāļāđāļĢāļāļ§āļīāļāļĪāļ āļāļ°āđāļāļ CVSS 9.9 āļāļąāļāļāļĒāļđāđāđāļāļāļĢāļ°āđāļ āļ Sandbox Bypass āļŦāļĢāļ·āļ āđāļāļīāļāļāļēāļāļāļ§āļēāļĄāļāļāļāļĢāđāļāļāļāļāļāļāļĨāđāļāļāļēāļĢāļāļģāļāļąāļāļāļāļāđāļāļāļāļēāļĢāļāļģāļāļēāļāļāļāļāđāļāđāļ āđāļŦāļāļļāļāļēāļĢāļāđāļāļĩāđāđāļāļīāļāļāļķāđāļāđāļāļŠāđāļ§āļāļāļąāļāļāđāļāļąāļ Python Code Node āļāļāđāļāļĨāļāļāļāļĢāđāļĄ n8n āđāļāļĒāļāļąāļāļāđāļāļąāļāļāļąāļāļāļĨāđāļēāļ§āļāļ°āļĄāļĩāļāļēāļĢāđāļĢāļĩāļĒāļāđāļāđ Pyodide (Python runtime āļāļ WebAssembly) āđāļāļ·āđāļāļŠāļĢāđāļēāļāļŠāļ āļēāļāđāļ§āļāļĨāđāļāļĄāļŠāļģāļŦāļĢāļąāļāļāļĢāļ°āļĄāļ§āļĨāļāļĨāđāļāđāļāļ āļēāļĐāļē Python āļ āļēāļĒāđāļ Workflow n8n
âĒ āļāđāļāļāđāļŦāļ§āđāļāļĩāđāđāļāļīāļāđāļāļāļēāļŠāđāļŦāđāļāļđāđāđāļāđāļāļēāļāļāļĩāđāļāđāļēāļāļāļēāļĢāļĒāļ·āļāļĒāļąāļāļāļąāļ§āļāļāđāļĨāļ°āļĄāļĩāļŠāļīāļāļāļīāđāđāļāļāļēāļĢāļŠāļĢāđāļēāļāļŦāļĢāļ·āļāđāļāđāđāļ Workflow āļŠāļēāļĄāļēāļĢāļāđāļāļĩāļĒāļāđāļāđāļāļ āļēāļĐāļē Python āļāđāļēāļ Python Code Node āđāļāļ·āđāļāļāđāļēāļĄāļāļĨāđāļāļāļēāļĢāļāļģāļāļąāļāļāļāļāđāļāļāļāļēāļĢāļāļģāļāļēāļāļāļāļāļŠāļ āļēāļāđāļ§āļāļĨāđāļāļĄāļŠāļģāļŦāļĢāļąāļāļĢāļąāļāđāļāđāļāļ āļēāļĐāļē Python (Pyodide) āļŠāđāļāļāļĨāđāļŦāđāļŠāļēāļĄāļēāļĢāļāļŠāđāļāļāļģāļŠāļąāđāļāđāļāļ·āđāļāđāļĢāļĩāļĒāļāđāļāđāļāļēāļāđāļāļĢāļ·āđāļāļāđāļŪāļŠāļāđāļāļĩāđāđāļŦāđāļāļĢāļīāļāļēāļĢ n8n āđāļāđāđāļāļĒāļāļĢāļ āđāļāļĒāļāļģāļŠāļąāđāļāļāļąāļāļāļĨāđāļēāļ§āļāļ°āļāļđāļāļāļĢāļ°āļĄāļ§āļĨāļāļĨāļ āļēāļĒāđāļāđāļŠāļīāļāļāļīāđāđāļāļĩāļĒāļ§āļāļąāļāļāļĢāļ°āļāļ§āļāļāļēāļĢāļāļģāļāļēāļāļāļāļ n8n āļāļķāđāļāļāļēāļāļāļģāđāļāļŠāļđāđāļāļēāļĢāđāļāđāļēāļāļķāļāļĢāļ°āļāļāđāļāļĒāđāļĄāđāđāļāđāļĢāļąāļāļāļāļļāļāļēāļ āļāļēāļĢāđāļāļĨāļĩāđāļĒāļāđāļāļĨāļāļāļēāļĢāļāļąāđāļāļāđāļēāļĢāļ°āļāļ āļŦāļĢāļ·āļāļāļēāļĢāđāļāđāļēāļāļ§āļāļāļļāļĄāļĢāļ°āļāļāđāļāļ§āļāļāļ§āđāļēāļ
āļāļĨāļīāļāļ āļąāļāļāđāđāļĨāļ°āđāļ§āļāļĢāđāļāļąāļāļāļĩāđāđāļāđāļĢāļąāļāļāļĨāļāļĢāļ°āļāļ
âĒ n8n āđāļ§āļāļĢāđāļāļąāļāļāļąāđāļāđāļāđ 1.X.X (āļāđāļāļāļŦāļāđāļē 2.0.0)ïļ ThaiCERT āļāļāđāļāļ°āļāļģāđāļŦāđāļŦāļāđāļ§āļĒāļāļēāļāļāļĩāđāđāļāđāļāļēāļāđāļ§āļāļĢāđāļāļąāļāļāļĩāđāđāļāđāļĢāļąāļāļāļĨāļāļĢāļ°āļāļ āđāļĢāđāļāļāļģāđāļāļīāļāļāļēāļĢāļāļĢāļ§āļāļŠāļāļāđāļĨāļ°āđāļāđāđāļāļāļąāļāļāļĩ
āđāļāļ§āļāļēāļāļāļēāļĢāļāļĢāļ§āļāļŠāļāļāđāļĨāļ°āļāļēāļĢāļāđāļāļāļāļąāļ-
āđāļāļ§āļāļēāļāļāļēāļĢāļāļĢāļ§āļāļŠāļāļ
âĒ āļāļĢāļ§āļāļŠāļāļāđāļāļĨāļāļāļāļĢāđāļĄ n8n āļāļĩāđāđāļāđāļāļēāļāļāļĒāļđāđāļ§āđāļēāđāļāđāļāđāļ§āļāļĢāđāļāļąāļāļāļĩāđāļāđāļģāļāļ§āđāļē 2.0.0 āļŦāļĢāļ·āļāđāļĄāđ
âĒ āļāļĢāļ§āļāļŠāļāļāļ§āđāļēāļĄāļĩāļāļēāļĢāđāļāđāļāļēāļ Python Code Node āļ āļēāļĒāđāļ Workflow āļŦāļĢāļ·āļāđāļĄāđ
âĒ āļāļĢāļ§āļāļŠāļāļāļāļąāļāļāļĩāļāļđāđāđāļāđāļāļēāļāļāļĩāđāļĄāļĩāļŠāļīāļāļāļīāđ āļŠāļĢāđāļēāļāļŦāļĢāļ·āļāđāļāđāđāļ Workflow -
āđāļāļ§āļāļēāļāļāļēāļĢāļāđāļāļāļāļąāļ
âĒ āļāļģāđāļāļīāļāļāļēāļĢ āļāļąāļāđāļāļāđāļāļĨāļāļāļāļĢāđāļĄ n8n āđāļāđāļāđāļ§āļāļĢāđāļāļąāļ 2.0.0 āļŦāļĢāļ·āļāđāļŦāļĄāđāļāļ§āđāļē
âĒ āļŠāļģāļŦāļĢāļąāļāļĢāļ°āļāļāļāļĩāđāļĒāļąāļāđāļāđ n8n āđāļ§āļāļĢāđāļāļąāļ 1.x āļŠāļēāļĄāļēāļĢāļāđāļāļīāđāļĄāļāļ§āļēāļĄāļāļĨāļāļāļ āļąāļĒāđāļāđāđāļāļĒāļāļģāļŦāļāļāļāđāļēāđāļŦāđāđāļāđ Python sandbox āđāļāļ task runner āļāđāļēāļāļāļąāļ§āđāļāļĢāļŠāļ āļēāļāđāļ§āļāļĨāđāļāļĄ
- N8N_RUNNERS_ENABLED
- N8N_NATIVE_PYTHON_RUNNER
- āļĄāļēāļāļĢāļāļēāļĢāļāļąāđāļ§āļāļĢāļēāļ§ (āļāļĢāļāļĩāļĒāļąāļāđāļĄāđāļŠāļēāļĄāļēāļĢāļāļāļąāļāđāļāļāđāļāđāļāļąāļāļāļĩ)
âĒ āļāļīāļāļāļēāļĢāđāļāđāļāļēāļ Code Node āļāļąāđāļ§āļāļĢāļēāļ§ āđāļāļĒāļāļģāļŦāļāļāļāđāļē NODES_EXCLUDE: ["n8n-nodes-base.code"]
âĒ āļāļīāļāļāļēāļĢāļĢāļāļāļĢāļąāļāļ āļēāļĐāļē Python āđāļ Code Node āđāļāļĒāļāļģāļŦāļāļāļāđāļē N8N_PYTHON_ENABLED=false
âĒ āļāļģāļāļąāļāļŠāļīāļāļāļīāđāļāļđāđāđāļāđāļāļēāļāļāļĩāđāļŠāļēāļĄāļēāļĢāļāļŠāļĢāđāļēāļāļŦāļĢāļ·āļāđāļāđāđāļ Workflow āđāļŦāđāđāļāļāļēāļ°āļāļĩāđāļĄāļĩāļāļ§āļēāļĄāļāļģāđāļāđāļāđāļāđāļēāļāļąāđāļ
āļāđāļēāļāļāļīāļ
https://nvd.nist.gov/vuln/detail/CVE-2025-68668
https://github.com/n8n-io/n8n/security/advisories/GHSA-62r4-hw23-cc8v
https://thehackernews.com/2026/01/new-n8n-vulnerability-99-cvss-lets.html
https://cwe.mitre.org/data/definitions/693.html
āļāđāļ§āļĒāļāļ§āļēāļĄāļāļĢāļēāļĢāļāļāļēāļāļĩ
āļŠāļģāļāļąāļāļāļēāļāļāļāļ°āļāļĢāļĢāļĄāļāļēāļĢāļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒāđāļāđāļāļāļĢāđāđāļŦāđāļāļāļēāļāļī (āļŠāļāļĄāļ.) / ThaiCERT -
