一、漏洞详情
n8n是一个开源的工作流自动化工具,旨在帮助用户通过图形化界面设计和自动化各种任务。
近日,监测到一个存在于n8n中的表达式执行漏洞。该漏洞源于n8n在执行表达式时,未充分验证工作流参数,允许经过身份验证的用户利用这一缺陷,通过精心构造的表达式,诱使系统执行未预期的命令,从而导致远程代码执行(RCE)。攻击者只需具备创建或修改工作流的权限,即可通过此漏洞触发系统命令的执行,可能对运行n8n的主机造成严重安全威胁。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
2.0.0 <= n8n < 2.5.2
n8n < 1.123.17
三、修复建议
官方已发布修复补丁,以修复该漏洞。
n8n >= 1.123.17
n8n >= 2.5.2
