工作流自动化工具n8n惊现9.9分漏洞！超10万个实例面临风险

近日，开源工作流自动化工具n8n披露了一个高危漏洞，该漏洞编号CVE-2025-68613，其CVSS评分高达9.9分（满分10分）。

n8n是一款开源的工作流自动化工具，凭借其直观的可视化界面和节点连接方式，即使是非技术人员也能轻松上手，根据npm统计数据，n8n软件包每周下载量约为57000次

npm维护团队表示，该漏洞存在于工作流配置期间，在某些情况下，经过身份验证的用户提供的表达式，可能会在未与底层运行时充分隔离的执行上下文中进行评估。

攻击者可利用这一漏洞，以n8n进程权限执行任意代码，从而导致受影响实例完全沦陷，包括未经授权访问敏感数据、修改工作流以及执行系统级操作。

该漏洞影响所有0.211.0及以上，且低于1.120.4的版本，根据Censys的数据，截至2025年12月22日，全球共有103476个潜在易受攻击的实例。

n8n官方已紧急发布修复版本，建议所有用户立即升级至1.122.0及以上安全版本。

如果无法立即进行更新，建议将工作流创建和编辑权限限制为可信用户，并在受限的操作系统权限和网络访问环境中部署n8n，降低被攻击的风险。