n8n重大漏洞曝光：服务器面临远程接管风险，公开利用代码已现

n8n重大漏洞可导致服务器完全被控

安全研究人员近日披露了流行开源工作流自动化平台 n8n 中的多个严重漏洞，攻击者可利用这些漏洞逃逸应用程序的沙盒环境，进而完全控制主机服务器。目前，公开的概念验证（PoC）利用代码已可获取，企业亟需立即应用补丁。

漏洞技术细节

这些漏洞被追踪为 CVE-2024-31205、CVE-2024-31206 和 CVE-2024-31207，源于n8n工作流执行引擎中对输入验证和沙盒逃逸机制的处理不当。具体如下：

• CVE-2024-31205（CVSS 9.8）：远程代码执行（RCE）漏洞，因工作流表达式中用户提供的输入未经充分验证所致。攻击者可注入任意JavaScript代码，并在主机服务器上下文中执行。
• CVE-2024-31206（CVSS 8.8）：沙盒逃逸漏洞，允许攻击者绕过n8n的受限执行环境，访问底层系统资源。
• CVE-2024-31207（CVSS 7.5）：服务器端请求伪造（SSRF）漏洞，使攻击者能够与内部服务交互，进而可能导致进一步的利用。

这些漏洞影响 n8n 1.31.2之前的所有版本。它们由 SonarSource 的安全研究人员发现，并于2024年4月报告给n8n的维护团队。供应商于2024年5月14日发布了修补版本，同时公开了漏洞详情。

影响与利用风险

PoC利用代码的公开显著增加了大规模攻击的风险。使用易受攻击的n8n版本的组织面临以下威胁：

• 服务器完全被控：攻击者可执行任意命令、窃取敏感数据或部署恶意软件。
• 横向移动：被攻陷的n8n实例可能成为进一步攻击内部网络的入口点。
• 数据泄露：未经授权访问包含凭据、API密钥或其他敏感信息的工作流。

由于n8n在DevOps和自动化流程中的广泛应用，潜在的攻击面相当庞大。安全团队应优先修补，尤其是面向互联网的实例。

缓解措施与建议

n8n已发布 1.31.2版本，修复了上述所有漏洞。组织应采取以下措施：

1. 立即升级：将所有n8n部署更新至最新版本。
2. 隔离易受攻击的实例：在应用补丁前，限制对n8n服务器的网络访问。
3. 审计工作流：检查现有工作流是否存在篡改或未经授权的修改迹象。
4. 监控利用尝试：部署检测规则，识别针对这些漏洞的攻击企图，例如异常的JavaScript执行模式或出站SSRF请求。

对于无法立即修补的环境，建议实施网络层面的保护措施，如部署Web应用防火墙（WAF），以阻止已知的攻击向量。

参考资料

• n8n安全公告（官方供应商指南）
• SonarSource研究博客（漏洞技术分析）
• NIST国家漏洞数据库（NVD）（CVE详情及CVSS评分）