江苏
关键词
漏洞
工作流自动化平台 n8n 被曝存在一处高危安全漏洞,该漏洞若被成功利用,在特定条件下可导致攻击者执行任意代码。
该漏洞编号为CVE-2025-68613,通用漏洞评分系统(CVSS)评分为 9.9 分。据 npm 平台统计数据显示,该软件包周下载量约达5.7 万次。
该 npm 软件包维护团队指出:“在特定条件下,已完成身份验证的用户在配置工作流时提交的表达式,可能会在未与底层运行环境充分隔离的执行上下文中被解析执行。”
漏洞危害与影响范围
“已通过身份验证的攻击者可利用这一漏洞,以 n8n 进程的权限执行任意代码。漏洞一旦被成功利用,可能导致受影响的平台实例被完全攻陷,包括敏感数据遭未授权访问、工作流被篡改,以及系统级操作被恶意执行等后果。”
该漏洞影响所有版本号≥0.211.0 且≤1.120.4的 n8n 程序,目前官方已在 1.120.4、1.121.1 和 1.122.0 三个版本中完成漏洞修复。据攻击面管理平台 Censys 监测数据,截至 2025 年 12 月 22 日,全球范围内存在潜在漏洞风险的 n8n 实例多达 103476 个,其中大部分分布于美国、德国、法国、巴西及新加坡等国家。
鉴于该漏洞的高危等级,相关部门建议用户尽快为 n8n 程序安装更新补丁。若暂时无法立即完成补丁部署,建议将工作流的创建与编辑权限仅开放给可信用户,同时在权限受限的操作系统环境中部署 n8n,并限制其网络访问范围,以此降低漏洞被利用的风险。
安全圈
网罗圈内热点 专注网络安全
实时资讯一手掌握!
好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
