开源自动化工具曝高危漏洞，全球超十万实例面临风险

2025年12月24日，一款广受欢迎的开源工作流自动化工具被发现存在高危安全漏洞，漏洞编号为CVE-2025-68613，CVSS评分为9.9分，接近最高风险等级。该工具以直观的图形化界面和模块化节点设计著称，使得用户无需编程背景也能快速构建自动化流程。根据公开的下载数据，其软件包每周平均下载量达到约57000次，显示出广泛的使用基础。

经分析，该漏洞源于工作流配置过程中表达式处理机制的安全缺陷。在特定条件下，已通过身份验证的用户所提交的表达式可能在未与底层系统充分隔离的环境中被执行。这一问题可被恶意利用，导致攻击者以运行该服务的系统权限执行任意代码，进而完全控制受影响的服务实例。潜在后果包括敏感信息泄露、工作流被篡改以及对底层操作系统发起进一步攻击。

此次漏洞影响版本范围为0.211.0及以上但低于1.120.4的所有版本。根据互联网资产测绘数据显示，截至2025年12月22日，全球范围内暴露在公网的可攻击实例数量高达103476个，面临严重安全威胁。

目前，项目开发团队已发布包含修复补丁的更新版本，建议所有用户尽快升级至1.122.0或更高版本以消除风险。对于暂时无法完成升级的环境，推荐采取临时防护措施，包括限制工作流创建与编辑权限仅限可信人员操作，并将服务部署在权限受限的操作系统账户及受控网络环境中，以最大限度降低被攻击的可能性。