n8n Git节点预提交钩子远程代码执行漏洞分析

漏洞详情

包管理器: npm
受影响包: n8n
受影响版本: < 1.113.0
修复版本: 1.113.0

漏洞描述

影响

n8n（包括云端和自托管版本）的Git节点组件存在远程代码执行漏洞。当恶意攻击者克隆包含预提交钩子的远程仓库时，后续在Git节点中使用提交操作可能会无意中触发钩子的执行。

这使得攻击者能够在n8n环境中执行任意代码，可能危及系统安全以及任何连接的凭证或工作流。所有使用Git节点克隆不受信任仓库的工作流用户都会受到影响。

修复措施

该漏洞已在v1.113.0版本中修复（n8n-io/n8n#19559），该版本引入了新的环境变量：N8N_GIT_NODE_DISABLE_BARE_REPOS。对于自托管部署，强烈建议将此变量设置为true以降低执行恶意Git钩子的风险。

临时解决方案

在升级前降低风险：

• 避免使用Git节点克隆或与不受信任的仓库交互
• 在无法完全信任仓库内容的工作流中禁用或限制使用Git节点

参考信息

• GHSA-xgp7-7qjq-vg47
• n8n-io/n8n#19559
• n8n-io/n8n@5bf3db5
• https://nvd.nist.gov/vuln/detail/CVE-2025-62726

安全评分

严重等级: 高
CVSS评分: 8.8/10

CVSS v3基础指标

• 攻击向量：网络
• 攻击复杂度：低
• 所需权限：低
• 用户交互：无
• 范围：未改变
• 机密性：高
• 完整性：高
• 可用性：高

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

弱点分类

弱点: CWE-829
描述: 从不受信任的控制领域包含功能 - 产品从预期控制领域之外的源导入、要求或包含可执行功能。