文章总结： n8n工作流平台0.211.0–1.121.1存在CVE-2025-68613高危RCE，认证用户可在表达式中注入恶意代码突破沙箱直接执行系统命令，官方已发布1.123.7修复，建议立即升级、最小化授权、容器隔离并启用日志与WAF检测异常payload 综合评分： 92 文章分类： 漏洞预警,WEB安全,安全建设,漏洞POC,解决方案

【高危漏洞预警】n8n远程代码执行漏洞CVE-2025-68613

cexlife

飓风网络安全

2025年12月24日 11:25 北京

漏洞描述:

n8n是一个开源的工作流自动化平台,它允许用户创建自动化工作流程以连接不同的服务和应用程序,该漏洞源于n8n在评估工作流中用户定义的动态表达式时,未能将其执行上下文与底层服务器运行时环境进行充分隔离。经过身份验证的攻击者可以利用此漏洞,通过在工作流配置中注入恶意表达式突破安全沙箱限制,直接以n8n进程的权限在宿主服务器上执行任意系统命令,从而导致服务器被完全控制

攻击场景:

攻击者需具备登录权限且拥有工作流编辑能力,通过在工作流中构造恶意动态表达式利用n8n在评估用户输入表达式时未充分隔离执行上下文的缺陷,实现对宿主服务器的远程命令执行

影响产品:

1、 0.211.0 <= n8n < 1.120.4

2、 1.121.0 <= n8n < 1.121.1

修复建议:

补丁名称:

n8n工作流自动化平台远程代码执行漏洞的补丁-更新至修复版本1.123.7

文件链接:

https://github.com/n8n-io/n8n/releases/tag/n8n%401.123.7

技术分析和建议:

分析：该漏洞本质为不安全的表达式求值机制，攻击者通过构造包含系统调用或外部模块加载的表达式，绕过沙箱限制，实现从应用层到操作系统层面的权限提升。由于n8n支持高度自定义的工作流逻辑，且允许用户定义动态表达式，若未对执行上下文进行严格隔离，极易成为攻击跳板。

建议措施：

立即升级：将n8n升级至 1.122.0 或更高版本，该版本已引入更严格的表达式执行沙箱机制。

最小权限原则：仅对可信用户开放工作流创建与编辑权限，禁止非管理员用户操作敏感流程。

部署隔离环境：在容器化或受限的网络环境中运行n8n，限制其对宿主机文件系统、网络接口的访问权限。

启用日志审计：记录所有工作流配置变更与表达式执行行为，便于事后溯源与异常检测。

使用WAF或IDS规则：部署规则检测对n8n工作流接口的异常请求，如包含eval, require, child_process, exec等关键字的JSON payload

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：飓风网络安全 cexlife《【高危漏洞预警】n8n远程代码执行漏洞CVE-2025-68613》