HackerNews 编译，转载请注明出处：

...

HackerNews 编译，转载请注明出处：

网络安全研究人员披露了在 n8n 工作流自动化平台两个新的安全漏洞，其中一个为可导致远程代码执行的高危漏洞。

这两个由 JFrog 安全研究团队发现的漏洞详情如下：

...

HackerNews 编译，转载请注明出处：

威胁行为者被发现在npm注册表上上传了八个软件包，这些软件包伪装成针对n8n工作流自动化平台的集成工具，旨在窃取开发者的OAuth凭证。

...

HackerNews 编译，转载请注明出处：

开源工作流自动化平台 n8n 被披露存在一处关键安全漏洞，已登录攻击者可在服务器上执行任意系统命令。该漏洞编号 CVE-2025-68668，CVSS 评分 9.9，由 Cyera Research Labs 的 Vladimir Tokarev 与 Ofek Itach 发现并命名为 N8scape。

受影响版本：1.0.0 ≤ n8n < 2.0.0
修复版本：2.0.0（已发布）

根因：Python Code Node 在使用 Pyodide 时存在沙箱逃逸，导致拥有“创建或修改工作流”权限的已登录用户能够以 n8n 进程相同权限在宿主机上执行任意操作系统命令。

n8n 官方说明

...

HackerNews 编译，转载请注明出处：

工作流自动化平台 n8n 被曝存在一处高危安全漏洞，该漏洞若被成功利用，在特定条件下可导致攻击者执行任意代码。

该漏洞编号为CVE-2025-68613，通用漏洞评分系统（CVSS）评分为 9.9 分。据 npm 平台统计数据显示，该软件包周下载量约达 5.7 万次。

该 npm 软件包维护团队指出：“在特定条件下，已完成身份验证的用户在配置工作流时提交的表达式，可能会在未与底层运行环境充分隔离的执行上下文中被解析执行。”

...