💡
原文中文,约1000字,阅读约需3分钟。
📝
内容提要
开源工作流自动化工具n8n出现9.9分的代码执行漏洞,约10万个实例受影响。攻击者可绕过限制执行系统指令,控制服务器。建议用户立即升级到修复版本以确保安全。
🎯
关键要点
- 开源工作流自动化工具n8n出现9.9分的代码执行漏洞,约10万个实例受影响。
- 攻击者可绕过限制执行系统指令,控制服务器。
- 建议用户立即升级到修复版本以确保安全。
- 漏洞编号:CVE-2025-68613,漏洞评分:9.9分,影响版本:n8n 0.211.0 (含)~1.120.4 (不含)。
- 漏洞类型为任意代码执行,出现在n8n的表达式评估系统中。
- 用户输入的表达式在不安全的环境中运行,低权限用户也可利用漏洞。
- 安全公司Censys数据显示,全球约10万个n8n实例暴露在公网上,面临威胁。
- 修复后的版本为1.120.4、1.121.1、1.122.0,用户需检查并升级。
- 如无法更新,需限制工作流的建立和编辑权限,仅开放给受信任用户。
- 建议将n8n部署在受限环境中,例如受限的Docker环境。
❓
延伸问答
n8n的代码执行漏洞是什么类型的?
n8n的代码执行漏洞属于任意代码执行类型。
n8n的漏洞评分是多少?
n8n的漏洞评分为9.9分。
受影响的n8n版本范围是什么?
受影响的n8n版本范围是0.211.0(含)到1.120.4(不含)。
用户应该如何保护自己的n8n实例?
用户应立即升级到修复版本,或限制工作流的建立和编辑权限,仅开放给受信任用户。
全球有多少个n8n实例受到此漏洞影响?
全球约有10万个n8n实例受到此漏洞影响。
n8n的漏洞是如何被利用的?
攻击者可以利用漏洞绕过限制,在不安全的环境中执行系统指令,从而控制服务器。
➡️
