12月24日消息,近日,开源工作流自动化工具n8n披露了一个高危漏洞,该漏洞编号CVE-2025-68613,其CVSS评分高达9.9分(满分10分)。
n8n是一款开源的工作流自动化工具,凭借其直观的可视化界面和节点连接方式,即使是非技术人员也能轻松上手,根据npm统计数据,n8n软件包每周下载量约为57000次
npm维护团队表示,该漏洞存在于工作流配置期间,在某些情况下,经过身份验证的用户提供的表达式,可能会在未与底层运行时充分隔离的执行上下文中进行评估。
攻击者可利用这一漏洞,以n8n进程权限执行任意代码,从而导致受影响实例完全沦陷,包括未经授权访问敏感数据、修改工作流以及执行系统级操作。
该漏洞影响所有0.211.0及以上,且低于1.120.4的版本,根据Censys的数据,截至2025年12月22日,全球共有103476个潜在易受攻击的实例。
n8n官方已紧急发布修复版本,建议所有用户立即升级至1.122.0及以上安全版本。
如果无法立即进行更新,建议将工作流创建和编辑权限限制为可信用户,并在受限的操作系统权限和网络访问环境中部署n8n,降低被攻击的风险。
