n8n工作流自动化平台有个致命的漏洞,美国CISA直接警告说已经有人在野外动手了。CISA证实,黑客盯上了n8n里那个最危险的远程代码执行漏洞。CISA让联邦部门赶紧修CVE-2025-68613,因为这个漏洞评分直接飙到9.9分,简直快满分了。这洞是12月刚披露的,像Resecurity这些公司说,在n8n的23万活跃用户里头,超过10.3万人都中招了。这个漏洞能在开源平台上让人家远程控制机器,后果轻者数据被盗,重者供应链都得被击垮。它主要影响n8n的表达式引擎,平时大家都靠这个来跨系统干活呢。根据公告,只要条件合适,认证过的人就能往表达式里塞恶意代码,这些代码没怎么验就会被执行。公告写得很清楚:“成功利用了这漏洞,整个实例就可能沦陷,包括偷看数据、改流程、甚至是干系统级的事。”说白了就是哪怕你是个低权限账号,也能把整个平台给接管了,滥用起来那是要密码找密码,改流程推恶意代码。好在n8n在v1.122.0版本里把这个问题给补上了,不过CISA把它放进了“已知被利用漏洞”(KEV)清单里,看来还是有不少组织没跟上更新。联邦部门必须在3月25日之前确保自己运行的是安全版本。自从这个9.9分的漏洞露馅后,项目维护者过了好几天的苦日子。虽然对付9.9分的补丁管用了,但后来Cyera那边又说发现了个10.0分的大雷——叫做“ni8mare”,这就把他们给吓住了,不得不再花时间想别的办法去补。还有年初出来的CVE-2026-21858也是个RCE漏洞,因为webhook处理得不对,这漏洞能让攻击者不用登录就能把整个n8n给控制住。紧接着2月初又闹了一波事儿,这些缺陷被统一归到CVE-2026-25049(CVSS 9.4分)名下了。n8n觉得这些缺陷跟CVE-2025-68613差不多,都是利用表达式引擎搞出来的新花样。他们在公告里说:“除了那个老问题之外,我们又找出了好几种滥用表达式评估的新招。如果有个有权限的人恶意构造了表达式参数,运行n8n的那台机器就可能跑起乱七八糟的命令来。” Q1:CVE-2025-68613这漏洞到底多吓人?会有啥后果?A:这个漏洞是最高级别的远程代码执行,评分9.9分。如果被人利用了,受影响的服务器就彻底沦陷了。随便干坏事都行,不管是偷看数据、改流程还是动系统级操作。有它在手的人甚至能接管整个n8n平台拿到密码机密。 Q2:n8n平台现在都摊上哪些安全麻烦?A:除了CVE-2025-68613外,还有CVE-2026-21858(10.0分)和CVE-2026-25049(9.4分)这些高危货。它们都能让别人远程控制机器,尤其是CVE-2026-21858甚至不用登陆就能搞定一切,说明这平台现在安全状况挺悬的。 Q3:怎么才能防住这些漏洞?A:赶紧把软件升到v1.122.0或更高的版本去修那个洞是头等大事。美国CISA规定联邦机构得在3月25日之前搞定这件事。另外还要盯着官方出的公告看新闻及时打补丁,还有最好把用户权限管严实点少开权限口子。