HackerNews 编译,转载请注明出处:
工作流自动化平台 n8n 被曝存在一处高危安全漏洞,该漏洞若被成功利用,在特定条件下可导致攻击者执行任意代码。
该漏洞编号为CVE-2025-68613,通用漏洞评分系统(CVSS)评分为 9.9 分。据 npm 平台统计数据显示,该软件包周下载量约达 5.7 万次。
该 npm 软件包维护团队指出:“在特定条件下,已完成身份验证的用户在配置工作流时提交的表达式,可能会在未与底层运行环境充分隔离的执行上下文中被解析执行。”
“已通过身份验证的攻击者可利用这一漏洞,以 n8n 进程的权限执行任意代码。漏洞一旦被成功利用,可能导致受影响的平台实例被完全攻陷,包括敏感数据遭未授权访问、工作流被篡改,以及系统级操作被恶意执行等后果。”
该漏洞影响所有版本号≥0.211.0 且≤1.120.4的 n8n 程序,目前官方已在 1.120.4、1.121.1 和 1.122.0 三个版本中完成漏洞修复。据攻击面管理平台 Censys 监测数据,截至 2025 年 12 月 22 日,全球范围内存在潜在漏洞风险的 n8n 实例多达 103476 个,其中大部分分布于美国、德国、法国、巴西及新加坡等国家。
消息来源:thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
