开源工作流自动化工具n8n出现9.9分的代码执行漏洞 全球超过10万个暴露的实例受威胁
开源工作流自动化工具 n8n 出现 9.9 分的代码执行漏洞,扫描显示全球大约有 10 万个暴露在公网的 n8n 实例受到影响。攻击者可以利用漏洞绕过限制直接在运行 n8n 的服务器上执行系统级指令,因此几乎可以获得整个服务器的控制权,到时候黑客可以窃取数据或者修改工作流及执行其他恶意操作。修复方法:https://ourl.co/111425
如果你使用 n8n 则当前应该立即检查新版本并升级,这个开源的工作流自动化工具日前被发现存在高危安全漏洞,这个漏洞属于远程代码执行类型,借助漏洞攻击者可以在运行 n8n 的服务器上执行系统级命令。
n8n 是个开源的工作流自动化工具,可以通过可视化的节点连线将多个不同的应用程序串联起来从而实现自动化任务,该工具可以直接安装在自己的服务器或者使用 Docker 部署,部署后还可以用来连接 OpenAI API 等利用人工智能模型自动执行任务。
漏洞关键信息:
漏洞原因和攻击方式:
此次漏洞出现在 n8n 的表达式评估系统中,在特定条件下用户输入的表达式没有在足够隔离的环境中运行,因此已经登录的用户(哪怕是低权限用户)可以利用这个漏洞绕过限制直接在运行 n8n 的服务器上执行系统级指令,也就是可以完全控制服务器并获得这台服务器上的所有关键信息、修改现有的自动化流程并执行其他恶意操作。
安全公司 Censys 发布的公网扫描数据显示,截止至 2025 年 12 月 22 日全球大约有 10 万个暴露在公网上的 n8n 实例受到威胁,也就是这些实例背后的服务器都暴露在危险中。
升级和防御措施:
目前开发团队已经发布新版本进行修复,修复后的版本分别为 1.120.4、1.121.1、1.122.0,用户可以检查自己安装的版本并升级到对应修复后的版本确保安全。
如果暂时无法更新则必须严格限制建立和编辑工作流的权限,将权限仅开放给受信任的用户。另外建议将 n8n 部署在受限环境中,例如受限的 Docker 环境。
via GitHub
n8n 是个开源的工作流自动化工具,可以通过可视化的节点连线将多个不同的应用程序串联起来从而实现自动化任务,该工具可以直接安装在自己的服务器或者使用 Docker 部署,部署后还可以用来连接 OpenAI API 等利用人工智能模型自动执行任务。
漏洞关键信息:
漏洞原因和攻击方式:
此次漏洞出现在 n8n 的表达式评估系统中,在特定条件下用户输入的表达式没有在足够隔离的环境中运行,因此已经登录的用户(哪怕是低权限用户)可以利用这个漏洞绕过限制直接在运行 n8n 的服务器上执行系统级指令,也就是可以完全控制服务器并获得这台服务器上的所有关键信息、修改现有的自动化流程并执行其他恶意操作。
安全公司 Censys 发布的公网扫描数据显示,截止至 2025 年 12 月 22 日全球大约有 10 万个暴露在公网上的 n8n 实例受到威胁,也就是这些实例背后的服务器都暴露在危险中。
升级和防御措施:
目前开发团队已经发布新版本进行修复,修复后的版本分别为 1.120.4、1.121.1、1.122.0,用户可以检查自己安装的版本并升级到对应修复后的版本确保安全。
如果暂时无法更新则必须严格限制建立和编辑工作流的权限,将权限仅开放给受信任的用户。另外建议将 n8n 部署在受限环境中,例如受限的 Docker 环境。
via GitHub
关于作者
评论1次
这是真的到年底了,各位SRC大佬开始冲业绩了,各项目组也开始清账了😂