(问题)美国网络安全和基础设施安全局(CISA)近日发布安全警报称,黑客正利用工作流自动化平台n8n中的高危漏洞实施攻击;CISA点名漏洞编号CVE-2025-68613,综合风险评分高达9.9分,属于极易造成重大危害的远程代码执行缺陷,并已被纳入“已知被利用漏洞”(KEV)目录。按照要求,美国联邦文职行政部门机构需在规定期限前完成修补与版本升级,以降低被入侵风险。 (原因)从技术机理看,CVE-2025-68613问题集中在n8n的表达式评估涉及的组件。n8n被广泛用于跨系统、跨应用的自动化编排,例如在告警触发后自动拉取数据、调用接口、写入数据库或推送工单等。由于表达式引擎承担了对变量与逻辑的解析执行,一旦在特定条件下出现校验不足,就可能被具备一定权限的攻击者通过“注入”方式植入恶意载荷,并在系统中被执行。简言之,即便攻击者最初仅拥有低权限账户,也可能借助该缺陷将权限快速抬升,进而控制整套自动化平台。 (影响)CISA强调,此类远程代码执行漏洞一旦被成功利用,后果往往不止于单点系统失守。n8n作为“连接器”性质的平台,通常握有大量敏感凭据与访问令牌,用于打通内部系统、云服务以及第三方工具。攻击者在接管n8n实例后,可能出现三类典型风险:其一,敏感数据与密钥被窃取,带来账号接管、业务数据外泄等连锁问题;其二,工作流被篡改,导致自动化任务在不被察觉的情况下持续执行恶意操作,例如批量导出数据、修改配置、投递后门;其三,风险向供应链扩散。由于自动化工作流可触达多个系统,攻击者可能借此横向移动,将单一漏洞演变为跨系统、跨组织的复合型安全事件。相关安全机构与研究团队此前估算,n8n活跃用户规模较大,若补丁部署滞后,暴露面将深入扩大。 (对策)针对已披露并出现利用迹象的漏洞,最直接有效的处置路径是“快速升级+最小化权限+持续监测”。一是尽快将n8n升级至包含修复的安全版本(官方已在v1.122.0中完成对CVE-2025-68613的修补),并对外网暴露的管理端与接口进行清理与加固。二是严格执行最小权限原则,对可创建、修改工作流以及可配置凭据的账号权限进行收敛,减少低权限账户被滥用后造成的升级空间。三是强化运行时监测与审计,对工作流变更、凭据读取、异常命令执行、可疑外联等行为建立告警与溯源机制,必要时启用隔离策略。四是建立补丁治理流程,对被列入KEV目录的漏洞实施更高优先级处置,做到资产摸底清晰、责任到人、时限可追踪。 (前景)值得关注的是,n8n近期安全形势呈现“高频暴露、集中修补”的特征。除CVE-2025-68613外,业界还披露过其他高危远程代码执行问题,包括在特定处理逻辑缺陷下可能实现未授权控制的漏洞,以及与表达式评估相关的多种变体路径。该现象提示,随着自动化编排工具在政企环境中的渗透率提升,其安全性已不仅是单一产品质量问题,更关系到组织的身份管理、密钥管理、接口调用与供应链防护能力。未来一段时间,自动化平台的安全建设可能呈现三点趋势:其一,漏洞修补时效将成为衡量组织安全成熟度的重要指标;其二,对“连接器/编排器”类系统的安全审计将从外围防护转向核心权限与凭据治理;其三,监管与行业标准可能进一步强调对关键系统的可视化、可控化与可追责化管理,推动从“事后补救”向“预防为主”转变。
n8n漏洞事件凸显了开源软件面临的安全挑战。在采用此类工具时,企业不仅要关注功能特性,还需建立完善的安全管理体系,包括定期评估、及时修复和严格权限控制,才能有效保障业务安全。