江蘇
關鍵詞
漏洞
工作流自動化平臺 n8n 被曝存在一處高危安全漏洞,該漏洞若被成功利用,在特定條件下可導致攻擊者執行任意代碼。
該漏洞編號為CVE-2025-68613,通用漏洞評分系統(CVSS)評分為 9.9 分。據 npm 平臺統計數據顯示,該軟件包周下載量約達5.7 萬次。
該 npm 軟件包維護團隊指出:“在特定條件下,已完成身份驗證的用戶在配置工作流時提交的表達式,可能會在未與底層運行環境充分隔離的執行上下文中被解析執行。”
漏洞危害與影響范圍
“已通過身份驗證的攻擊者可利用這一漏洞,以 n8n 進程的權限執行任意代碼。漏洞一旦被成功利用,可能導致受影響的平臺實例被完全攻陷,包括敏感數據遭未授權訪問、工作流被篡改,以及系統級操作被惡意執行等后果。”
該漏洞影響所有版本號≥0.211.0 且≤1.120.4的 n8n 程序,目前官方已在 1.120.4、1.121.1 和 1.122.0 三個版本中完成漏洞修復。據攻擊面管理平臺 Censys 監測數據,截至 2025 年 12 月 22 日,全球范圍內存在潛在漏洞風險的 n8n 實例多達 103476 個,其中大部分分布于美國、德國、法國、巴西及新加坡等國家。
鑒于該漏洞的高危等級,相關部門建議用戶盡快為 n8n 程序安裝更新補丁。若暫時無法立即完成補丁部署,建議將工作流的創建與編輯權限僅開放給可信用戶,同時在權限受限的操作系統環境中部署 n8n,并限制其網絡訪問范圍,以此降低漏洞被利用的風險。
安全圈
網羅圈內熱點 專注網絡安全
實時資訊一手掌握!
好看你就分享 有用就點個贊
支持「安全圈」就點個三連吧!
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
