CVE-2025-68613影响
N8N 是一个开源的工作流程自动化平台。0.211.0 起及之前的版本在 1.120.4、1.121.1 和 1.122.0 之前,其工作流表达式评估系统中存在关键的远程代码执行(RCE)漏洞。在某些条件下,经过认证的用户在工作流配置过程中提供的表达式可能会在与底层运行时隔离不足的执行上下文中进行评估。经过认证的攻击者可能会滥用这种行为,以n8n进程的权限执行任意代码。成功的利用可能导致受影响实例的全面入侵,包括未经授权访问敏感数据、修改工作流程以及系统级作的执行。这个问题在1.120.4、1.121.1和1.122.0版本中得到了修复。强烈建议用户升级到补丁版,该版本引入了额外的保护措施以限制表达评估。如果无法立即升级,管理员应考虑以下临时缓解措施:限制工作流创建和编辑权限仅限于完全信任的用户;和/或在受限作系统权限和网络访问的加固环境中部署N8N,以减少潜在的利用影响。这些权宜之计并不能完全消除风险,应仅作为短期措施使用。
基于nuclei使用方法
-
下载并安装Nuclei。
-
将此仓库克隆到你的本地系统。
-
执行以下命令:将下文源码另存为template.yaml
nuclei -u <ip|fqdn> -t template.yaml或者如果你想扫描主机列表,可以执行:
nuclei -l <list.txt> -t template.yamlPOC漏洞源码
id: CVE-2025-68613
info:
name: CVE-2025-68613 - n8n Workflow Automation Vulnerability
author: rxerium
severity: critical
description: |
n8n is a fair-code licensed workflow automation tool. This CVE represents a vulnerability in n8n workflow automation platform that could allow attackers to exploit the application. The vulnerability affects various versions of n8n and can be detected through the n8n signin page.
reference:
- https://nvd.nist.gov/vuln/detail/CVE-2025-68613
metadata:
vendor: n8n
product: n8n Workflow Automation
verified: true
shodan-query: http.favicon.hash:-831756631
tags: cve,cve2025,n8n
http:
- method: GET
path:
- "{{BaseURL}}/signin"
extractors:
- type: regex
name: base64_content
group: 1
regex:
- '<meta name="n8n:config:sentry" content="([A-Za-z0-9+/=]+)"'
internal: true
- type: dsl
name: decoded
dsl:
- 'base64_decode(base64_content)'
internal: true
- type: dsl
name: version
dsl:
- 'replace_regex(decoded, ".*n8n@([0-9]+\\.[0-9]+\\.[0-9]+).*", "$1")'
internal: true
- type: dsl
dsl:
- '"n8n Version: " + version'
matchers-condition: and
matchers:
- type: word
part: body
words:
- "<title>n8n.io"
case-insensitive: true
- type: status
status:
- 200
- type: dsl
name: vulnerable
dsl:
- '(compare_versions(version, ">= 0.211.0") && compare_versions(version, "< 1.120.4")) || (compare_versions(version, ">= 1.121.0") && compare_versions(version, "< 1.121.1"))'
扫一扫
829
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
