https://blog.qife122.com/tags/cve-2025-61914/ Recent content in CVE-2025-61914 on 办公AI智能小助手 Hugo zh-cn qife Mon, 29 Dec 2025 14:05:12 +0800 https://blog.qife122.com/p/n8n-%E5%B7%A5%E4%BD%9C%E6%B5%81%E8%87%AA%E5%8A%A8%E5%8C%96%E5%B9%B3%E5%8F%B0%E9%AB%98%E5%8D%B1%E6%BC%8F%E6%B4%9E-cve-2025-61914-%E6%B7%B1%E5%BA%A6%E8%A7%A3%E6%9E%90%E5%AD%98%E5%82%A8%E5%9E%8Bxss%E6%94%BB%E5%87%BB%E4%B8%8E%E7%BC%93%E8%A7%A3%E6%96%B9%E6%A1%88/ Mon, 29 Dec 2025 14:05:12 +0800 https://blog.qife122.com/p/n8n-%E5%B7%A5%E4%BD%9C%E6%B5%81%E8%87%AA%E5%8A%A8%E5%8C%96%E5%B9%B3%E5%8F%B0%E9%AB%98%E5%8D%B1%E6%BC%8F%E6%B4%9E-cve-2025-61914-%E6%B7%B1%E5%BA%A6%E8%A7%A3%E6%9E%90%E5%AD%98%E5%82%A8%E5%9E%8Bxss%E6%94%BB%E5%87%BB%E4%B8%8E%E7%BC%93%E8%A7%A3%E6%96%B9%E6%A1%88/ <h1 id="cve-2025-61914-cwe-79n8n-io-n8n-中网页生成期间输入过滤不当跨站脚本---实时威胁情报---威胁雷达">CVE-2025-61914: CWE-79：n8n-io n8n 中网页生成期间输入过滤不当（跨站脚本） - 实时威胁情报 - 威胁雷达</h1> <p><strong>严重性：高</strong> <strong>类型：漏洞</strong></p> <p><strong>CVE-2025-61914</strong></p> <p>n8n 是一个开源工作流自动化平台。在 1.114.0 版本之前，当使用“响应 Webhook”节点时，n8n 中可能存在存储型跨站脚本漏洞。当此节点响应包含可执行脚本的 HTML 内容时，有效负载可能直接在顶级窗口中执行，而不是在 1.103.0 版本中引入的预期沙箱环境中执行。此行为可能使拥有工作流创建权限的恶意行为者能够在 n8n 编辑器界面上下文中执行任意 JavaScript。此问题已在 1.114.0 版本中修复。此问题的缓解措施包括：仅将工作流创建和修改权限限制给受信任的用户；避免在“响应 Webhook”节点中使用不受信任的 HTML 响应；以及使用外部反向代理或 HTML 清理器来过滤包含可执行脚本的响应。</p>