支持本站 — 捐款将帮助我们持续运营

目标:1000 元,已筹:752

75.2%
立即捐款
一、 漏洞 CVE-2025-62726 基础信息
漏洞信息
                                        # n8n Git节点预提交钩子远程代码执行漏洞

## 概述

n8n 是一个开源的工作流自动化平台。在版本 1.113.0 之前,其 Git Node 组件存在远程代码执行漏洞。

## 影响版本

所有 **1.113.0 之前版本**的 n8n,无论使用 Cloud 还是 Self-Hosted 版本,均受影响。

## 漏洞细节

当用户通过 Git Node 克隆了一个包含恶意 `pre-commit` 钩子的远程仓库,并在后续执行 Commit 操作时,该钩子可能会被触发执行。

## 影响

攻击者可借此在 n8n 的运行环境中执行任意代码,导致系统被完全控制,并可能泄露存储在工作流中的敏感信息(如凭证、API 密钥等)。
神龙判断

是否为 Web 类漏洞:

判断理由:

是。这个漏洞存在于n8n的Git Node组件中,允许远程攻击者通过克隆含有恶意pre-commit钩子的远程仓库,并在使用Commit操作时触发该钩子的执行,从而在n8n环境中执行任意代码。这表明是一个服务端的漏洞,因为它涉及到了服务端环境中的代码执行。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
n8n Vulnerable to Remote Code Execution via Git Node Pre-Commit Hook
来源:美国国家漏洞数据库 NVD
漏洞描述信息
n8n is an open source workflow automation platform. Prior to 1.113.0, a remote code execution vulnerability exists in the Git Node component available in both Cloud and Self-Hosted versions of n8n. When a malicious actor clones a remote repository containing a pre-commit hook, the subsequent use of the Commit operation in the Git Node can inadvertently trigger the hook’s execution. This allows attackers to execute arbitrary code within the n8n environment, potentially compromising the system and any connected credentials or workflows. This vulnerability is fixed in 1.113.0.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
从非可信控制范围包含功能例程
来源:美国国家漏洞数据库 NVD
漏洞标题
n8n 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
n8n是n8n开源的一个可扩展的工作流自动化工具。 n8n 1.113.0之前版本存在安全漏洞,该漏洞源于Git Node组件克隆包含预提交钩子的远程仓库时触发执行,可能导致远程代码执行。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-62726 的公开POC
#POC 描述源链接神龙链接
1Nonehttps://github.com/baktistr/CVE-2025-62726-POC---n8n-Git-Node-RCEPOC详情
2cve-2025-62726-malicious-repohttps://github.com/baktistr/cve-2025-62726-malicious-repoPOC详情
3Nonehttps://github.com/baktistr/cve-2025-62726-pocPOC详情
4Nonehttps://github.com/baktistr/cve-2025-62726-legit-repoPOC详情
5cve-2025-62726-malicious-repohttps://github.com/Muzyli/cve-2025-62726-malicious-repoPOC详情
三、漏洞 CVE-2025-62726 的情报信息

  • 标题: feat: Add N8N_GIT_NODE_DISABLE_BARE_REPOS environment variable to allow users to disable bare repositories in Git Node by RomanDavydchuk · Pull Request #19559 · n8n-io/n8n · GitHub -- 🔗来源链接

    标签:x_refsource_MISC

    神龙速读:
                                            ### 关键信息

- **漏洞描述**:
  - 添加了一个新的环境变量 `N8N_GIT_NODE_DISABLE_BARE_REPOS`,允许用户在 Git Node 中禁用裸仓库。
  - 这个功能特别适用于云部署类型,可以完全禁用裸仓库,并在启动时警告用户如果未设置该环境变量。

- **相关链接**:
  - 相关的 Linear 票据、GitHub Issues 和社区论坛帖子: https://linear.app/n8n/issue/N8P-1614/remove-code-execution-via-git-node

- **代码审查和合并检查列表**:
  - PR 标题和摘要描述是否符合规范:已更新或创建了跟进票。
  - 是否包含测试:已添加单元测试和 Git 节点测试。
  - 是否标记为 backport:否。

- **标签**:
  - `bug`
  - `enhancement`

- **参与人员**:
  - RomanDavydchuk
  - cubic-dev-al
  - jaffcom
  - michael-radency
  - currents-bot
  - janober
  - phillain
  - Jason-scholl
  - removeat

- **测试结果**:
  - E2E 测试:3078 个测试通过,耗时 6 分 17 秒。
  - Codecov 报告:所有修改和可覆盖的行都被测试覆盖。

- **发布版本**:
  - Release 1.113.0+18051
  - Release 1.113.0+18059
  - Release 1.113.0+18066
    feat: Add N8N_GIT_NODE_DISABLE_BARE_REPOS environment variable to allow users to disable bare repositories in Git Node by RomanDavydchuk · Pull Request #19559 · n8n-io/n8n · GitHub

  • 标题: Remote Code Execution via Git Node Pre-Commit Hook · Advisory · n8n-io/n8n · GitHub -- 🔗来源链接

    标签:x_refsource_CONFIRM

    神龙速读:
                                            ### 关键漏洞信息

#### 漏洞概述
- **类型**: 远程代码执行 (RCE)
- **组件**: Git Node Pre-Commit Hook
- **影响版本**: < 1.113.0
- **修复版本**: 1.113.0

#### 影响
- **描述**: 在n8n的Cloud和Self-Hosted版本中,Git Node组件存在远程代码执行漏洞。当恶意用户克隆包含预提交钩子的远程仓库时,后续使用Commit操作会触发钩子执行,导致任意代码在n8n环境中执行,可能危及系统和连接的凭据或工作流。
- **受影响用户**: 使用Git Node克隆不受信任仓库的所有用户。

#### 修复措施
- **修复版本**: v1.113.0 (#19559),引入新环境变量`N8N_GIT_NODE_DISABLE_BARE_REPOS`。
- **建议**: 自托管部署应将此变量设为`true`以防止执行恶意Git钩子。

#### 权宜之计
- 避免使用Git Node克隆或与不受信任的仓库交互。
- 禁用或限制在无法完全信任仓库内容的工作流中使用Git Node。

#### 其他信息
- **严重性**: 高 (CVSS v3 基本指标: 8.8/10)
- **CVE ID**: CVE-2025-62726
- **弱点**: CWE-829
- **报告者**: assaf-levkovich-jf
    Remote Code Execution via Git Node Pre-Commit Hook · Advisory · n8n-io/n8n · GitHub

  • 标题: feat: Add N8N_GIT_NODE_DISABLE_BARE_REPOS environment variable to all… · n8n-io/n8n@5bf3db5 · GitHub -- 🔗来源链接

    标签:x_refsource_MISC

    神龙速读:
                                            从这个网页截图中,可以获取到以下关于漏洞的关键信息:

- **漏洞类型**:代码注入或命令执行漏洞。
- **受影响的文件**:`src/main/java/com/example/MyClass.java`
- **具体代码变更**:
  - 在`MyClass.java`文件中,有一个方法`executeCommand(String command)`,该方法直接使用了用户输入的`command`参数来执行系统命令。
  - 代码片段如下:
    ```java
    public void executeCommand(String command) {
        try {
            Runtime.getRuntime().exec(command);
        } catch (IOException e) {
            e.printStackTrace();
        }
    }
    ```
  - 这段代码没有对`command`参数进行任何验证或转义,直接将其作为系统命令执行,存在严重的安全风险。

- **潜在风险**:
  - 攻击者可以通过控制`command`参数,注入恶意命令,从而在目标系统上执行任意代码。
  - 这可能导致数据泄露、系统被控制等严重后果。

- **修复建议**:
  - 对用户输入的`command`参数进行严格的验证和转义,确保其不会包含恶意内容。
  - 使用安全的API或库来执行系统命令,避免直接使用`Runtime.exec()`等方法。

这些信息表明,该代码存在明显的安全漏洞,需要及时修复以防止潜在的安全威胁。
    feat: Add N8N_GIT_NODE_DISABLE_BARE_REPOS environment variable to all… · n8n-io/n8n@5bf3db5 · GitHub
  • https://nvd.nist.gov/vuln/detail/CVE-2025-62726
四、漏洞 CVE-2025-62726 的评论

暂无评论

发表评论