n8n 严重缺陷（CVSS 9.9）允许在数千个实例中执行任意代码

n8n 自动化平台的一个严重缺陷可能允许攻击者在特定条件下执行任意代码。

研究人员警告称， n8n工作流自动化平台中存在一个严重漏洞，编号为CVE-2025-68613（CVSS 评分为 9.9）， 攻击者在特定情况下可能利用该漏洞执行任意代码。

根据 npm 的统计数据，该软件包每周的下载量约为 57,000 次。

“n8n 的工作流表达式求值系统存在严重的远程代码执行 (RCE) 漏洞。在特定条件下，已认证用户在工作流配置期间提供的表达式可能会在与底层运行时隔离不足的执行上下文中进行求值。”安全公告指出。

“已认证的攻击者可以利用此漏洞，以 n8n 进程的权限执行任意代码。成功利用此漏洞可能导致受影响实例完全被攻陷，包括未经授权访问敏感数据、修改工作流以及执行系统级操作。”

n8n 是一个专为技术团队设计的自动化工作流程平台，它融合了自定义代码的灵活性和无代码工具的速度与简易性。该平台支持 400 多种集成，包含原生 AI 功能，并采用公平代码许可，使企业能够在构建强大自动化流程的同时，完全掌控自身的数据和部署环境。

经过身份验证的攻击者可以在工作流配置期间利用此漏洞，以与 n8n 进程相同的权限运行任意代码，从而可能导致系统完全被攻破、数据泄露、工作流被篡改以及系统级命令的执行。

该漏洞已在 1.120.4、1.121.1 和 1.122.0 版本中修复，强烈建议用户升级。

如果无法立即升级，管理员应将工作流的创建和编辑权限限制在完全受信任的用户，并在强化环境中运行 n8n。

请注意，这些措施只能暂时降低风险，并不能彻底解决问题。

网络安全公司Censys截至2025年12月22日监测到103,476个潜在漏洞实例，可通过以下查询进行追踪。大多数实例位于美国、德国和法国。