關(guān)鍵詞

n8n漏洞

近日，工作流自動化平臺 n8n 被披露存在一個嚴重安全漏洞，攻擊者若成功利用該漏洞，可通過構(gòu)造惡意工作流執(zhí)行任意系統(tǒng)命令，入侵服務器、竊取敏感數(shù)據(jù)，風險極高。

一、漏洞核心信息（據(jù)n8n官方公告、安全研究團隊披露）

1. 漏洞編號：CVE-2026-25049

2. 風險等級：嚴重（CVSS 評分：9.4）

3. 漏洞根源：清理機制不足，導致繞過了此前修復 CVE-2025-68613（CVSS 評分：9.9，2025年12月已修復）的安全措施，本質(zhì)是同一漏洞的繞過型利用。

4. 漏洞原理：TypeScript 編譯時類型檢查與 JavaScript 運行時行為不匹配，攻擊者在運行時構(gòu)造惡意表達式，傳遞非字符串值（如對象、數(shù)組），可完全繞過清理檢查，逃離 n8n 表達式沙箱機制。

5. 發(fā)現(xiàn)者：包括報告 CVE-2025-68613 的 Fatih ?elik 在內(nèi)，共10位安全研究人員（來自 Endor Labs、Pillar Security、SecureLayer7 等機構(gòu)）因發(fā)現(xiàn)該漏洞受到表彰。

二、漏洞影響范圍與攻擊手法

▌受影響版本（已明確修復版本，速查對照）

- n8n < 1.123.17（已在 1.123.17 版本中修復）

- n8n < 2.5.2（已在 2.5.2 版本中修復）

▌攻擊條件

已獲得認證、且有權(quán)創(chuàng)建或修改工作流的用戶，即可濫用工作流參數(shù)中精心構(gòu)造的表達式，觸發(fā)系統(tǒng)命令執(zhí)行；若結(jié)合 n8n 的 webhook 功能，攻擊難度大幅降低、影響范圍顯著擴大。

▌具體攻擊手法

據(jù) SecureLayer7 披露，攻擊者只需創(chuàng)建包含“未啟用身份驗證的公開可訪問 webhook”的工作流，添加一行使用解構(gòu)語法的 JavaScript 代碼，即可濫用該工作流執(zhí)行系統(tǒng)級命令。

一旦 webhook 暴露，互聯(lián)網(wǎng)上的任何人都可觸發(fā)該 webhook，遠程運行系統(tǒng)命令——正如 Pillar Security 的 Eilon Cohen 所說：“這種攻擊不需要任何特殊技巧，只要你能創(chuàng)建一個工作流，就能控制服務器?！?/p>

三、漏洞危害（嚴重且直接）

成功利用該漏洞，攻擊者可實現(xiàn)多重惡意操作，危害極大：

1. 入侵服務器，執(zhí)行任意系統(tǒng)命令，安裝持久后門，實現(xiàn)長期控制；

2. 竊取敏感憑據(jù)，包括 API 密鑰、云提供商密鑰、數(shù)據(jù)庫密碼、OAuth 令牌等；

3. 訪問服務器文件系統(tǒng)和內(nèi)部系統(tǒng)，泄露核心敏感數(shù)據(jù)；

4. 攻擊連接的云帳戶，劫持人工智能（AI）工作流程；

5. 結(jié)合 webhook 功能可實現(xiàn)大范圍遠程攻擊，影響更多關(guān)聯(lián)系統(tǒng)。

四、緊急修復與臨時防護方案（必做）

▌優(yōu)先修復方案（最有效，立即執(zhí)行）

立即將 n8n 升級至對應修復版本，杜絕漏洞被利用：

- 1.x 版本用戶：升級至 1.123.17 及以上版本；

- 2.x 版本用戶：升級至 2.5.2 及以上版本；

升級后重啟 n8n 服務，確保修復生效。

▌臨時變通方法（無法立即升級時，降低風險）

1. 嚴格權(quán)限管控：僅允許完全信任的用戶創(chuàng)建和編輯工作流，禁用非必要用戶的工作流操作權(quán)限；

2. 強化部署環(huán)境：在操作系統(tǒng)權(quán)限、網(wǎng)絡訪問權(quán)限受限的強化環(huán)境中部署 n8n，減少漏洞利用后的危害范圍；

3. 臨時關(guān)閉公開 webhook：若無需使用，暫時關(guān)閉未啟用身份驗證的公開 webhook，避免被攻擊者利用。

▌安全啟示

Endor Labs 提醒：該漏洞凸顯多層驗證的重要性，即使 TypeScript 類型檢查看似強大，處理不受信任輸入時，仍需添加額外的運行時檢查；代碼審查中，需重點關(guān)注清理函數(shù)，排查未在運行時強制執(zhí)行的輸入類型假設。

五、n8n 同步披露的其他 11 個漏洞（速查，按需修復）

除 CVE-2026-25049 外，n8n 還同步發(fā)布了11個漏洞的安全警報，其中5個為“嚴重”等級，均已推出修復版本，建議一并檢查升級：

1. CVE-2026-21893（CVSS 9.4，嚴重）：命令注入漏洞，已在 1.120.3 版本修復；

2. CVE-2026-25051（CVSS 8.5，高）：跨站腳本（XSS）漏洞，已在 1.123.2 版本修復；

3. CVE-2026-25052（CVSS 9.4，嚴重）：TOCTOU 文件訪問漏洞，已在 2.5.0、1.123.18 版本修復；

4. CVE-2026-25053（CVSS 9.4，嚴重）：Git 節(jié)點命令注入漏洞，已在 2.5.0、1.123.10 版本修復；

5. CVE-2026-25054（CVSS 8.5，高）：存儲型 XSS 漏洞，已在 2.2.1、1.123.9 版本修復；

6. CVE-2026-25055（CVSS 7.1，中高）：路徑遍歷漏洞，已在 2.4.0、1.123.12 版本修復；

7. CVE-2026-25056（CVSS 9.4，嚴重）：合并節(jié)點 SQL 漏洞，已在 2.4.0、1.118.0 版本修復；

8. CVE-2026-25115（CVSS 9.4，嚴重）：Python 代碼節(jié)點沙箱突破漏洞，已在 2.4.8 版本修復；

9. CVE-2026-25631（CVSS 5.3，中）：憑據(jù)域驗證不當漏洞，已在 1.121.0 版本修復；

10. CVE-2025-61917（CVSS 7.7，中高）：敏感信息泄露漏洞，已在 1.114.3 版本修復；

11. CVE-2025-62726（CVSS 8.8，高）：Git Node 遠程代碼執(zhí)行漏洞，已在 1.113.0 版本修復。

溫馨提示：n8n 作為常用工作流自動化平臺，其漏洞可能影響大量企業(yè)的業(yè)務正常運行，建議相關(guān)運維人員、技術(shù)人員立即核查自身使用的 n8n 版本，優(yōu)先完成升級修復；非技術(shù)人員請及時聯(lián)系公司運維團隊，確認防護措施已落實。

安全圈

網(wǎng)羅圈內(nèi)熱點 專注網(wǎng)絡安全

實時資訊一手掌握！

好看你就分享 有用就點個贊

支持「安全圈」就點個三連吧！