聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
n8n工作流自动化平台存在一个严重漏洞CVE-2025-68613(CVSS评分9.9)。若被成功利用,可在特定条件下导致任意代码执行。根据npm官方统计,该软件包每周下载量约5.7万次。
npm软件包维护团队提到:"在特定条件下,经身份验证的用户在工作流配置期间提供的表达式,可能在未与底层运行时充分隔离的执行环境中被解析。经身份验证的攻击者可利用此特性,以n8n进程的权限执行任意代码。成功利用该漏洞可能导致受影响实例被完全控制,导致未授权访问敏感数据、篡改工作流以及执行系统级操作等后果。"
该漏洞影响0.211.0(包含)至1.120.4版本之前的所有版本,目前已通过1.120.4、1.121.1和1.122.0版本完成修复。攻击面管理平台Censys数据显示,截至2025年12月22日,全球存在103476个可能受影响的实例,主要分布在美国、德国、法国、巴西和新加坡。
鉴于该漏洞的严重性,建议用户立即应用更新。若无法及时打补丁,建议将工作流创建和编辑权限限制于可信用户,并在强化环境中部署n8n同时限制操作系统权限和网络访问,降低风险。
开源卫士试用地址:https://oss.qianxin.com/#/login
代码卫士试用地址:https://sast.qianxin.com/#/login
推荐阅读
《中国开源发展深度报告(2024)》发布,奇安信聚焦开源安全参与编制
Log4j 的安全盲点:TLS新漏洞可用于拦截敏感日志
Zeroday Cloud 黑客大赛专注开源云和AI工具,赏金池450万美元
开源项目mcp-remote 中存在严重漏洞可导致RCE
Ivanti 修复已用于代码执行攻击中的两个 EPMM 0day 漏洞,与开源库有关
原文链接
https://thehackernews.com/2025/12/critical-n8n-flaw-cvss-99-enables.html
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
