n8n Remote Code Execution via Expression Injection sérülékenység
Angol cím: n8n Remote Code Execution via Expression Injection Vulnerability
Publikálás dátuma: 2026.01.08.
Utolsó módosítás dátuma: 2026.01.08.
Leírás
A szoftver nem megfelelően korlátozza a dinamikusan kezelt kódforrások (például: változók, objektumok, osztályok, attribútumok, funkciók, végrehajtható utasítások vagy utasítások) olvasását, írását.
Leírás forrása: CWE-913 Leírás utolsó módosítása: 2025.12.11.Elemzés leírás
Eredeti nyelven: Under certain conditions, expressions supplied by authenticated users during workflow configuration may be evaluated in an execution context that is not sufficiently isolated from the underlying runtime. An authenticated attacker could abuse this behavior to execute arbitrary code with the privileges of the n8n process. Successful exploitation may lead to full compromise of the affected instance, including unauthorized access to sensitive data, modification of workflows, and execution of system-level operations.
Elemzés leírás forrása: CVE-2025-68613 Elemzés leírás utolsó módosítása: 2026.01.02.Hatás
CVSS3.1 Súlyosság és Metrika
Base score: 9.9 (Kritikus)
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Impact Score: 6.0
Exploitability Score: 3.1
Attack Vector (AV): Network
Attack Complexity (AC): Low
Privileges Required (PR): Low
User Interaction (UI): None
Scope (S): Changed
Confidentiality Impact (C): High
Integrity Impact (I): High
Availability Impact (A): High
Következmények
Loss of integrity (Sértetlenség elvesztése)Other (Egyéb)
Hivatkozások
Sérülékeny szoftverek
cpe:2.3:a:n8n:n8n:*:*:*:*:*:node.js:*:* From (including) 0.211.0 Up to (excluding) 1.120.4
cpe:2.3:a:n8n:n8n:*:*:*:*:*:node.js:*:* From (including) 1.121.0 Up to (excluding) 1.121.1