💡
原文中文,约1000字,阅读约需3分钟。
📝
内容提要
开源工作流自动化工具n8n出现9.9分的代码执行漏洞,约10万个实例受影响。攻击者可绕过限制执行系统指令,控制服务器。建议用户立即升级到修复版本以确保安全。
🎯
关键要点
- 开源工作流自动化工具n8n出现9.9分的代码执行漏洞,约10万个实例受影响。
- 攻击者可绕过限制执行系统指令,控制服务器。
- 建议用户立即升级到修复版本以确保安全。
- 漏洞编号:CVE-2025-68613,漏洞评分:9.9分,影响版本:n8n 0.211.0 (含)~1.120.4 (不含)。
- 漏洞类型为任意代码执行,出现在n8n的表达式评估系统中。
- 用户输入的表达式在不安全的环境中运行,低权限用户也可利用漏洞。
- 安全公司Censys数据显示,全球约10万个n8n实例暴露在公网上,面临威胁。
- 修复后的版本为1.120.4、1.121.1、1.122.0,用户需检查并升级。
- 如无法更新,需限制工作流的建立和编辑权限,仅开放给受信任用户。
- 建议将n8n部署在受限环境中,例如受限的Docker环境。
➡️
