聚焦源代码安全,网罗国内外最新资讯!
npm软件包维护团队提到:"在特定条件下,经身份验证的用户在工作流配置期间提供的表达式,可能在未与底层运行时充分隔离的执行环境中被解析。经身份验证的攻击者可利用此特性,以n8n进程的权限执行任意代码。成功利用该漏洞可能导致受影响实例被完全控制,导致未授权访问敏感数据、篡改工作流以及执行系统级操作等后果。"
该漏洞影响0.211.0(包含)至1.120.4版本之前的所有版本,目前已通过1.120.4、1.121.1和1.122.0版本完成修复。攻击面管理平台Censys数据显示,截至2025年12月22日,全球存在103476个可能受影响的实例,主要分布在美国、德国、法国、巴西和新加坡。
鉴于该漏洞的严重性,建议用户立即应用更新。若无法及时打补丁,建议将工作流创建和编辑权限限制于可信用户,并在强化环境中部署n8n同时限制操作系统权限和网络访问,降低风险。
《中国开源发展深度报告(2024)》发布,奇安信聚焦开源安全参与编制
https://thehackernews.com/2025/12/critical-n8n-flaw-cvss-99-enables.html
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~