n8n工作流自动化平台曝高危漏洞(CVE-2025-68613,CVSS 9.9):数万实例面临任意代码执行风险

n8n工作流自动化平台近日披露一个高危安全漏洞,在特定条件下成功利用该漏洞可能导致任意代码执行。该漏洞被追踪为CVE-2025-68613,CVSS评分为9.9分(满分10分)。根据npm统计数据显示,该软件包每周下载量约为57,000次。

漏洞技术细节

npm软件包维护团队表示:"在某些情况下,经过身份验证的用户在工作流配置期间提供的表达式,可能会在未与底层运行时充分隔离的执行上下文中进行评估。经过身份验证的攻击者可利用此行为,以n8n进程权限执行任意代码。成功利用可能导致受影响实例完全沦陷,包括未经授权访问敏感数据、修改工作流以及执行系统级操作。"

影响范围与修复版本

该漏洞影响所有0.211.0及以上、1.120.4以下版本,已在1.120.4、1.121.1和1.122.0版本中修复。根据攻击面管理平台Censys数据,截至2025年12月22日,全球存在103,476个潜在易受攻击的实例,其中大部分位于美国、德国、法国、巴西和新加坡。

缓解建议

鉴于该漏洞的严重性,建议用户尽快应用更新。若无法立即打补丁,建议将工作流创建和编辑权限限制为可信用户,并在具有受限操作系统权限和网络访问权限的强化环境中部署n8n,以降低风险。

相关推荐
联盟分享专家11 小时前
垂直工具型 SaaS 的增长实战:如何把用户变成推广者?
运维
Leon-Ning Liu12 小时前
【真实经验分享】OGG抽取进程报错 ORA-07445 [kgherrordmp()+986] ORA-00600 [17114]分析步骤
运维·数据库
梦想的旅途212 小时前
基于RPA技术的企业微信自动化接口设计思路与应用实践
人工智能·机器人·自动化·企业微信·rpa
QWEDDRFTG12 小时前
运维长期经验总结:从故障倒推服务器电源线选购标准
运维·服务器
Mr.wangh12 小时前
聊天模型--流式传输
运维·服务器
fei_sun13 小时前
等价负载均衡(等价路由ECMP)
运维·负载均衡
zh731413 小时前
docker日志监控dozzle,高性能,性能消耗小
运维·docker·容器
yxl8746464613 小时前
PCTG-1015型Profinet转Ethernet/IP协议转换器
服务器·网络·物联网·网络协议·自动化·信息与通信
weixin_4713830313 小时前
Docker - 05 - Railway 部署
运维·docker·容器
你觉得脆皮鸡好吃吗13 小时前
【THM】JWT Security & Protocols and Servers(AI)
运维·服务器·网络