12月24日消息，工作工具近日，流自開源工作流自動化工具n8n披露了一個高危漏洞，動化洞超該漏洞編號CVE-2025-68613，驚現(xiàn)其CVSS評分高達9.9分（滿分10分）。分漏風險

n8n是實例一款開源的工作流自動化工具，憑借其直觀的面臨可視化界面和節(jié)點連接方式，即使是工作工具非技術人員也能輕松上手，根據(jù)npm統(tǒng)計數(shù)據(jù)，流自n8n軟件包每周下載量約為57000次

npm維護團隊表示，動化洞超該漏洞存在于工作流配置期間，驚現(xiàn)在某些情況下，分漏風險經(jīng)過身份驗證的實例用戶提供的表達式，可能會在未與底層運行時充分隔離的面臨執(zhí)行上下文中進行評估。

攻擊者可利用這一漏洞，工作工具以n8n進程權限執(zhí)行任意代碼，從而導致受影響實例完全淪陷，包括未經(jīng)授權訪問敏感數(shù)據(jù)、修改工作流以及執(zhí)行系統(tǒng)級操作。

該漏洞影響所有0.211.0及以上，且低于1.120.4的版本，根據(jù)Censys的數(shù)據(jù)，截至2025年12月22日，全球共有103476個潛在易受攻擊的實例。

n8n官方已緊急發(fā)布修復版本，建議所有用戶立即升級至1.122.0及以上安全版本。

如果無法立即進行更新，建議將工作流創(chuàng)建和編輯權限限制為可信用戶，并在受限的操作系統(tǒng)權限和網(wǎng)絡訪問環(huán)境中部署n8n，降低被攻擊的風險。

很贊哦!（39）