CVE-2025-62726n8n是一个开源的工作流自动化平台。在1.113.0版本之前,n8n的Git节点组件存在远程代码执行漏洞。该漏洞影响n8n的云版本和自托管版本。当恶意攻击者创建一个包含pre-commit钩子的恶意远程仓库,并诱导用户使用Git节点的Commit操作时,pre-commit钩子会被意外触发执行。这允许攻击者在n8n环境中执行任意代码,可能导致系统被完全 compromise,进而危及所有连接的凭证和工作流程。攻击者可以利用此漏洞窃取敏感信息、修改工作流程或横向移动到其他系统。该漏洞已在1.113.0版本中修复。
该漏洞的根本原因在于n8n的Git节点在执行git commit操作时,没有对远程仓库中的pre-commit钩子进行安全过滤或禁用。当用户从恶意仓库执行commit操作时,Git会按照配置执行仓库中的pre-commit钩子脚本。攻击者可以在钩子中嵌入任意命令或脚本,这些代码将以n8n服务进程的权限执行。攻击者通常需要诱使受害者:(1) 克隆攻击者控制的恶意仓库;(2) 在Git节点中执行commit操作。由于Git的pre-commit钩子是Git的标准功能,n8n在执行git命令时默认会触发这些钩子,导致代码执行。修复方案是在执行git操作时设置GIT_HOOKS_PATH环境变量为空或使用--no-verify选项来跳过钩子执行。