CISA指出n8n重大漏洞已遭利用,要求聯邦機構兩週內完成修補
漏洞詳情與影響範圍
美國網路安全暨基礎設施安全局(CISA)於3月11日發布警訊,指出工作流程自動化工具n8n存在重大資安漏洞CVE-2025-68613,已出現被利用的跡象,並將其列入已遭利用漏洞列表(KEV),要求聯邦機構在兩週內完成修補。
攻擊手法與風險
該漏洞的核心在於「表達式評估引擎」的清理缺陷,攻擊者可利用類型混淆(Type Confusion)繞過TypeScript檢查,使原本僅應在流程內運作的邏輯,變成可直接執行系統層級命令,進而取得主機控制權。
一旦成功利用此漏洞,攻擊者不僅能在n8n主機執行任何系統層級的命令,還能讀取包含N8N_ENCRYPTION_KEY在內的所有環境變數,並解密所有存放於資料庫的敏感資訊。
相關行動與建議
- 資安公司JFrog已公佈n8n的相關漏洞,編號為CVE-2026-1470與CVE-2026-0863,這些漏洞能繞過檢查機制或進行沙箱逃逸,其中又以評為重大風險。
- CISA要求所有聯邦機構在兩週內完成漏洞修補,以防止進一步的攻擊擴散。
- 相關單位應立即檢視其系統中是否部署n8n,並評估是否需更新或替換該工具。