n8n工作流自动化平台远程代码执行漏洞（CVE-2025–68613）技术分析

n8n工作流自动化平台遭远程代码执行漏洞CVE-2025–68613影响2025年下半年开源工作流自动化平台n8n披露了一个严重的远程代码执行漏洞编号为CVE-2025–68613。该漏洞的CVSS评分为9.9严重涉及工作流配置期间表达式评估逻辑中的一个结构性缺陷。该缺陷允许经过身份验证的用户以n8n进程的权限执行任意代码。n8n常被用作连接核心组织工作流的自动化中心包括API集成、内部系统自动化和数据处理管道。因此当部署在可访问互联网的环境中时单个服务被攻破可能成为攻击向内部基础设施传播的起点。本文分析了CVE-2025–68613相关的技术特征和攻击场景解释了为何外部暴露的n8n实例构成关键攻击面并从攻击面管理ASM角度审视了所需的响应策略。CVE-2025–68613漏洞概述CVE-2025–68613是一个远程代码执行漏洞由n8n工作流执行期间评估包含用户输入的表达式时逻辑隔离不足导致。官方假设攻击者是具有创建或修改工作流权限的认证用户。然而当结合以下条件时漏洞利用的实际难度显著降低n8n管理控制台或API直接暴露在互联网上访问控制配置不当或保留默认账户内部账户被入侵、认证策略薄弱或共享账户使用在此类环境中攻击者可以在工作流配置阶段注入特制表达式并以n8n服务器权限执行任意代码可能导致整个系统被攻陷。受影响版本及可用修复受影响版本n8n 0.211.0 至 1.120.31.121.1和1.122.0之前的某些版本同样受影响已修复版本1.120.4 / 1.121.1 / 1.122.0 及更高版本潜在攻击场景漏洞披露后可观察到的攻击场景预计如下展开识别外部暴露的n8n实例攻击者扫描公共互联网识别n8n Web界面或API端点暴露的资产。远程代码执行向易受攻击的端点发送精心构造的请求以n8n服务器权限执行任意代码。工作流操纵和信息外泄修改现有工作流或插入新的自动化管道以窃取API密钥、令牌和内部系统访问凭证。持久化与横向移动滥用自动化功能重复执行命令并尝试向内部系统扩展。在n8n作为连接内部系统的自动化中心的环境中此类攻击可能升级为超越单服务入侵扩散至整个组织的基础设施需要高度关注。Criminal IP识别到的互联网暴露n8n资产为了评估n8n实例在互联网上的真实暴露情况我们使用与n8n服务特征匹配的搜索条件分析了外部可访问资产。Criminal IP搜索查询title:”n8n.io — Workflow Automation”搜索结果显示了83,602个通过公共互联网直接访问的n8n实例分布于云和托管基础设施中。部分资产除了标准Web端口外还暴露了其他服务端口。这表明尽管n8n设计用于内部自动化目的但由于操作便利性或配置更改大量实例可从外部访问。在此类环境中一旦像CVE-2025–68613这样的RCE漏洞被披露大规模自动化攻击的条件便立即成立。以下是一个外部暴露的n8n实例示例。在该资产中n8n Web界面的HTMLtitle值直接暴露使得服务识别变得极为简单。该资产响应HTTP 200并加载n8n编辑器UI资源无需额外访问限制即可通过公共互联网直接访问。这表明即使是设计用于内部业务的服务也常常因配置或操作疏忽而暴露在外部。在这种情况下一旦CVE-2025–68613等漏洞被披露攻击者无需事先了解上下文即可自动识别并利用目标使这些实例成为真实且高风险的关键攻击面。超越补丁管理的攻击面可见性传统的漏洞响应侧重于确定特定CVE是否存在以及补丁是否已应用。然而这种方法本身不足以说明易受攻击的资产是否实际可从互联网访问——即它们是否位于攻击者可发现并利用的攻击面上。像n8n这样的自动化平台在结构上连接到内部系统、API和认证凭据。因此同一漏洞带来的实际风险因服务是否暴露在互联网上面存在显著差异。CVE-2025–68613虽然官方假设需要经过身份验证的访问但在n8n实例面向互联网、结合访问控制配置错误、默认凭据或账户被入侵的环境中很容易演变为实际的远程攻击场景。换言之关键因素不仅在于“什么”存在漏洞还在于“它部署在哪里”。以威胁情报为基础的攻击面管理ASM通过持续识别外部暴露的资产并从攻击者视角提供可发现的服务和服务器可见性来应对这一挑战。这使组织能够超越被动修补基于实际暴露风险确定修复优先级。从ASM角度来看一个关键见解是外部暴露的资产不仅限于被视为“外部服务”的系统。Criminal IP ASM分析揭示了许多原本假设仅供内部使用的服务器因配置错误或操作变更而通过公共互联网直接访问的案例。尽管这些服务器由内部运营但在敌对扫描期间它们被视为外部攻击面当与n8n等自动化平台结合时可以成为攻击传播的有效起点。结论CVE-2025–68613表明自动化平台已超越生产力工具演变为对组织安全态势产生重大影响的关键攻击面。应用补丁是基础但还不够。只有通过攻击面管理方法持续识别和管理外部暴露的自动化基础设施组织才能在攻击者发现之前控制风险。现代安全的核心不再局限于“什么存在漏洞”而是越来越依赖于理解“什么暴露在外部”。与此相关请参考《Trello数据泄露协作工具因API漏洞暴露于攻击之下》。CSD0tFqvECLokhw9aBeRqpxK8Vjh/VsEHzULyjXguibw9SfoZK0DBKwYcFEZPuXYeXjr1vX3NEGZJVgHH5/fEv9NrVwo7nD5A0dAMrkHy4mCrNGLg5aGN9g4fIJBzqR3QfYL1UlxBew4PZMpOktA9vy6Ueyzd70R96O52Tu8xAtq/nITYNyXPuLtMVbCr5d更多精彩内容 请关注我的个人公众号 公众号办公AI智能小助手对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号网络安全技术点滴分享