文章总结： n8n工作流自动化平台被曝存在严重漏洞CVE-2025-68613，CVSS评分9.9。经认证用户可利用未隔离的解析环境执行任意代码，威胁系统控制权。受影响版本为0.211.0至1.120.4，全球逾10万实例暴露风险。建议用户立即升级至修复版本，或限制编辑权限并强化部署环境以缓解威胁。 综合评分： 86 文章分类： 漏洞预警,漏洞分析,WEB安全

n8n严重漏洞可导致任意代码执行

Ravie Lakshmanan

代码卫士

2025年12月24日 18:33

  聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

n8n工作流自动化平台存在一个严重漏洞CVE-2025-68613（CVSS评分9.9）。若被成功利用，可在特定条件下导致任意代码执行。根据npm官方统计，该软件包每周下载量约5.7万次。

npm软件包维护团队提到：”在特定条件下，经身份验证的用户在工作流配置期间提供的表达式，可能在未与底层运行时充分隔离的执行环境中被解析。经身份验证的攻击者可利用此特性，以n8n进程的权限执行任意代码。成功利用该漏洞可能导致受影响实例被完全控制，导致未授权访问敏感数据、篡改工作流以及执行系统级操作等后果。”

该漏洞影响0.211.0（包含）至1.120.4版本之前的所有版本，目前已通过1.120.4、1.121.1和1.122.0版本完成修复。攻击面管理平台Censys数据显示，截至2025年12月22日，全球存在103476个可能受影响的实例，主要分布在美国、德国、法国、巴西和新加坡。

鉴于该漏洞的严重性，建议用户立即应用更新。若无法及时打补丁，建议将工作流创建和编辑权限限制于可信用户，并在强化环境中部署n8n同时限制操作系统权限和网络访问，降低风险。

开源卫士试用地址：https://oss.qianxin.com/#/login

代码卫士试用地址：https://sast.qianxin.com/#/login

推荐阅读

《中国开源发展深度报告（2024）》发布，奇安信聚焦开源安全参与编制

Log4j 的安全盲点：TLS新漏洞可用于拦截敏感日志

Zeroday Cloud 黑客大赛专注开源云和AI工具，赏金池450万美元

开源项目mcp-remote 中存在严重漏洞可导致RCE

Ivanti 修复已用于代码执行攻击中的两个 EPMM 0day 漏洞，与开源库有关

原文链接

https://thehackernews.com/2025/12/critical-n8n-flaw-cvss-99-enables.html

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 “赞” 吧~

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：代码卫士 Ravie Lakshmanan《n8n严重漏洞可导致任意代码执行》