AI代理盛行,能將AI工具與日常工作流程整合,並在無須編寫程式碼的情況下,進行自動化的工具也趁勢而起,其中,工作流程自動化的NPM套件n8n擁有許多用戶,因此受到關注。n8n是開源工作流程自動化工具,使用者能透過拖曳節點的方式,將多種應用程式與服務(如Gmail、Slack、Notion、ChatGPT等)串接起來,無須撰寫程式碼就能建立自動化流程。此工具全球已有超過23萬名活躍使用者,臺灣社群累積逾1.3萬用戶,每週下載次數超過4.6萬,是2025年最受關注的新興自動化工具之一。
若是這類平臺存在弱點,攻擊者不僅有可能打亂或竄改流程,甚至有可能用來從事網路攻擊。12月19日n8n開發工程團隊發布公告,他們近期修補重大層級的遠端程式碼執行(RCE)漏洞CVE-2025-68613,此漏洞出現於工作流程的表達式評估系統,在執行情境裡若與底層執行環境未充分隔離,由通過身分驗證使用者提供的表達式,將有可能在工作流配置被評估。此時通過身分驗證的攻擊者有機會濫用上述現象,透過n8n處理程序的特殊權限執行任意程式碼,CVSS風險評為9.9分(滿分10分),他們已在一個月前發布的1.120.4、1.121.1,以及1.122.0版更新當中,修補這項漏洞。
此漏洞影響0.211.0版至1.120.3版的n8n,攻擊者若是成功利用,就有機會完全入侵n8n實體(instance),從而在未經授權的情況下存取敏感資料、竄改工作流程,以及執行系統層級的作業。若是無法及時套用更新,管理員應採取臨時緩解措施因應,例如:限制建立工作流程與編輯權限、在受到限制的作業系統及強固環境部署n8n。n8n開發工程團隊強調,這些措施無法完全消除風險,用戶還是要儘速套用更新。
值得留意的是,儘管上述更新已在一個月前發布,全球恐有超過10萬套n8n系統尚未修補CVE-2025-68613。根據資安業者Censys的威脅情報平臺統計,12月22日有103,963套n8n存在漏洞,其中美國、德國,以及法國最多,分別有28,436、17,546,以及10,058個平臺曝險。臺灣是否有尚未修補的n8n,目前仍不得而知。
熱門新聞
2025-12-24
2025-12-23
2025-12-24
2025-12-26
2025-12-22
2025-12-19
2025-12-24
2025-12-23