n8n工作流自动化平台远程代码执行漏洞(CVE-2025–68613)技术分析

qife122
5 阅读6分钟

n8n工作流自动化平台遭远程代码执行漏洞(CVE-2025–68613)影响

2025年下半年,开源工作流自动化平台n8n披露了一个严重的远程代码执行漏洞,编号为CVE-2025–68613。

该漏洞的CVSS评分为9.9(严重),涉及工作流配置期间表达式评估逻辑中的一个结构性缺陷。该缺陷允许经过身份验证的用户以n8n进程的权限执行任意代码。

n8n常被用作连接核心组织工作流的自动化中心,包括API集成、内部系统自动化和数据处理管道。因此,当部署在可访问互联网的环境中时,单个服务被攻破可能成为攻击向内部基础设施传播的起点。

本文分析了CVE-2025–68613相关的技术特征和攻击场景,解释了为何外部暴露的n8n实例构成关键攻击面,并从攻击面管理(ASM)角度审视了所需的响应策略。

CVE-2025–68613:漏洞概述

CVE-2025–68613是一个远程代码执行漏洞,由n8n工作流执行期间评估包含用户输入的表达式时,逻辑隔离不足导致。

官方假设攻击者是具有创建或修改工作流权限的认证用户。然而,当结合以下条件时,漏洞利用的实际难度显著降低:

  • n8n管理控制台或API直接暴露在互联网上
  • 访问控制配置不当或保留默认账户
  • 内部账户被入侵、认证策略薄弱或共享账户使用

在此类环境中,攻击者可以在工作流配置阶段注入特制表达式,并以n8n服务器权限执行任意代码,可能导致整个系统被攻陷。

受影响版本及可用修复

受影响版本:n8n 0.211.0 至 1.120.3(1.121.1和1.122.0之前的某些版本同样受影响)
已修复版本:1.120.4 / 1.121.1 / 1.122.0 及更高版本

潜在攻击场景

漏洞披露后,可观察到的攻击场景预计如下展开:

  1. 识别外部暴露的n8n实例
    攻击者扫描公共互联网,识别n8n Web界面或API端点暴露的资产。

  2. 远程代码执行
    向易受攻击的端点发送精心构造的请求,以n8n服务器权限执行任意代码。

  3. 工作流操纵和信息外泄
    修改现有工作流或插入新的自动化管道,以窃取API密钥、令牌和内部系统访问凭证。

  4. 持久化与横向移动
    滥用自动化功能重复执行命令,并尝试向内部系统扩展。

在n8n作为连接内部系统的自动化中心的环境中,此类攻击可能升级为超越单服务入侵,扩散至整个组织的基础设施,需要高度关注。

Criminal IP识别到的互联网暴露n8n资产

为了评估n8n实例在互联网上的真实暴露情况,我们使用与n8n服务特征匹配的搜索条件分析了外部可访问资产。

Criminal IP搜索查询: title:”n8n.io — Workflow Automation”

搜索结果显示了83,602个通过公共互联网直接访问的n8n实例,分布于云和托管基础设施中。部分资产除了标准Web端口外,还暴露了其他服务端口。

这表明尽管n8n设计用于内部自动化目的,但由于操作便利性或配置更改,大量实例可从外部访问。在此类环境中,一旦像CVE-2025–68613这样的RCE漏洞被披露,大规模自动化攻击的条件便立即成立。

以下是一个外部暴露的n8n实例示例。在该资产中,n8n Web界面的HTML <title> 值直接暴露,使得服务识别变得极为简单。该资产响应HTTP 200并加载n8n编辑器UI资源,无需额外访问限制即可通过公共互联网直接访问。

这表明,即使是设计用于内部业务的服务,也常常因配置或操作疏忽而暴露在外部。在这种情况下,一旦CVE-2025–68613等漏洞被披露,攻击者无需事先了解上下文即可自动识别并利用目标,使这些实例成为真实且高风险的关键攻击面。

超越补丁管理的攻击面可见性

传统的漏洞响应侧重于确定特定CVE是否存在以及补丁是否已应用。然而,这种方法本身不足以说明易受攻击的资产是否实际可从互联网访问——即它们是否位于攻击者可发现并利用的攻击面上。

像n8n这样的自动化平台在结构上连接到内部系统、API和认证凭据。因此,同一漏洞带来的实际风险,因服务是否暴露在互联网上面存在显著差异。CVE-2025–68613虽然官方假设需要经过身份验证的访问,但在n8n实例面向互联网、结合访问控制配置错误、默认凭据或账户被入侵的环境中,很容易演变为实际的远程攻击场景。换言之,关键因素不仅在于“什么”存在漏洞,还在于“它部署在哪里”。

以威胁情报为基础的攻击面管理(ASM)通过持续识别外部暴露的资产,并从攻击者视角提供可发现的服务和服务器可见性来应对这一挑战。这使组织能够超越被动修补,基于实际暴露风险确定修复优先级。

从ASM角度来看,一个关键见解是:外部暴露的资产不仅限于被视为“外部服务”的系统。Criminal IP ASM分析揭示了许多原本假设仅供内部使用的服务器,因配置错误或操作变更而通过公共互联网直接访问的案例。尽管这些服务器由内部运营,但在敌对扫描期间它们被视为外部攻击面,当与n8n等自动化平台结合时,可以成为攻击传播的有效起点。

结论

CVE-2025–68613表明,自动化平台已超越生产力工具,演变为对组织安全态势产生重大影响的关键攻击面。应用补丁是基础,但还不够。

只有通过攻击面管理方法持续识别和管理外部暴露的自动化基础设施,组织才能在攻击者发现之前控制风险。现代安全的核心不再局限于“什么存在漏洞”,而是越来越依赖于理解“什么暴露在外部”。

与此相关,请参考《Trello数据泄露:协作工具因API漏洞暴露于攻击之下》。 CSD0tFqvECLokhw9aBeRqpxK8Vjh/VsEHzULyjXguibw9SfoZK0DBKwYcFEZPuXYeXjr1vX3NEGZJVgHH5/fEv9NrVwo7nD5A0dAMrkHy4mCrNGLg5aGN+9g4fIJBzqR3QfYL1UlxBew4PZMpOktA9vy6Ueyzd70R96O52Tu8xAtq/nITYNyXPuLtMVbCr5d

avatar
文章
阅读
粉丝