关键漏洞信息 漏洞标题 Unsafe Buffer Allocation Allows In-Process Memory Disclosure in Task Runner 严重性 级别: 高 CVSS v3 基本指标: 7.7/10 CVE ID: CVE-2025-61917 影响 使用 和 在任务运行器中允许未受信任的代码分配未初始化的内存。 这些未初始化的缓冲区可能包含同一 Node.js 进程中的残留数据(例如,来自之前的请求、任务、密钥或令牌的数据),导致潜在的信息泄露。 仅经过身份验证的用户能够通过任务运行器执行代码。 影响的条件: - 任务运行器使用 启用(默认为 false)。 - 启用了代码节点(默认为 true)。 修复 修复版本: 1.114.3 & 1.115.0 行动: 强烈建议尽快升级到版本 ≥ 1.114.3。 更改: - 将所有缓冲区分配通过 路由(当适用时,进行零填充操作)。 - 添加回归测试以确保继续强制执行安全分配实践。 解决方案 如果无法立即升级,建议以下加固步骤: - 禁用代码节点: 通过将 添加到 环境变量中。 - 选择外部模式进行隔离: 在外部模式下运行任务运行器,这样未受信任的任务代码在单独的侧边容器中执行,而不是在主 n8n 进程内。这显著降低了由于不安全的缓冲区分配导致的进程中内存泄露的风险。 - 详见 n8n 文档 获取配置详情和所需环境变量。 参考 Node.js 文档: vs — 零填充与未初始化分配的背景。 n8n 文档: - 任务运行器 — 外部模式、设置指南和环境配置详情。 - 阻塞节点 — 如何全局禁用特定节点。