“扫描下方二维码,进入公众号粉丝交流群。更多一手网安资讯、漏洞预警、技术干货和技术交流等您参与!”
n8n 是一款开源的可视化工作流自动化平台,广泛应用于企业自动化、数据处理和 DevOps 场景。平台采用节点式设计,支持用户通过拖拽组件构建业务流程。受影响的 Python 代码节点允许用户在工作流中执行自定义代码。该节点基于 Pyodide 技术,为代码执行提供安全的沙箱隔离环境。作为一款主流自动化工具,n8n 拥有广泛的用户基础。
近日,官方披露了 n8n 平台中存在的一个高危沙箱绕过漏洞(CVE-2025-68668)。该漏洞源于 Python 代码节点的实现机制。攻击者可利用该漏洞突破 Pyodide 沙箱的安全限制,实现沙箱逃逸,进而在宿主服务器上执行任意系统命令。
360 漏洞研究院已复现 n8n Python代码节点沙箱绕过漏洞(CVE-2025-68668),成功在 n8n 服务器指定位置写入文件。
受影响版本:
1.0.0 ≤ n8n < 2.0.0
正式防护方案
立即升级到n8n 2.0.0或更高版本
360安全智能体:支持该漏洞攻击的智能分析。
360测绘云 Quake:默认支持该产品的指纹识别。
360高级持续性威胁预警系统:预计 2026年01月05日发布规则更新包,支持该漏洞利用行为的检测。
360资产与漏洞检测管理系统:预计 2026年01月05日发布规则更新包,支持该漏洞利用行为的检测。本地安全大脑:默认支持该漏洞的PoC检测。
2026年01月04日,360漏洞研究院发布本安全风险通告。
https://nvd.nist.gov/vuln/detail/CVE-2025-68668
建议您订阅360数字安全-漏洞情报服务,获取更多漏洞情报详情以及处置建议,让您的企业远离漏洞威胁。
邮箱:360VRI@360.cn
网址:https://vi.loudongyun.360.net
360 漏洞研究院,隶属于360数字安全集团。其成员常年入选谷歌、微软、华为等厂商的安全精英排行榜, 并获得谷歌、微软、苹果史上最高漏洞奖励。研究院是中国首个荣膺Pwnie Awards“史诗级成就奖”,并获得多个Pwnie Awards提名的组织。累计发现并协助修复谷歌、苹果、微软、华为、高通等全球顶级厂商CVE漏洞3000多个,收获诸多官方公开致谢。研究院也屡次受邀在BlackHat,Usenix Security,Defcon等极具影响力的工业安全峰会和顶级学术会议上分享研究成果,并多次斩获信创挑战赛、天府杯等顶级黑客大赛总冠军和单项冠军。研究院将凭借其在漏洞挖掘和安全攻防方面的强大技术实力,帮助各大企业厂商不断完善系统安全,为数字安全保驾护航,筑造数字时代的安全堡垒。
10个月宝宝每天需要喝多少奶粉?
