關(guān)鍵詞

n8n漏洞

近日，工作流自動(dòng)化平臺(tái) n8n 被披露存在一個(gè)嚴(yán)重安全漏洞，攻擊者若成功利用該漏洞，可通過(guò)構(gòu)造惡意工作流執(zhí)行任意系統(tǒng)命令，入侵服務(wù)器、竊取敏感數(shù)據(jù)，風(fēng)險(xiǎn)極高。

一、漏洞核心信息（據(jù)n8n官方公告、安全研究團(tuán)隊(duì)披露）

1. 漏洞編號(hào)：CVE-2026-25049

2. 風(fēng)險(xiǎn)等級(jí)：嚴(yán)重（CVSS 評(píng)分：9.4）

3. 漏洞根源：清理機(jī)制不足，導(dǎo)致繞過(guò)了此前修復(fù) CVE-2025-68613（CVSS 評(píng)分：9.9，2025年12月已修復(fù)）的安全措施，本質(zhì)是同一漏洞的繞過(guò)型利用。

4. 漏洞原理：TypeScript 編譯時(shí)類型檢查與 JavaScript 運(yùn)行時(shí)行為不匹配，攻擊者在運(yùn)行時(shí)構(gòu)造惡意表達(dá)式，傳遞非字符串值（如對(duì)象、數(shù)組），可完全繞過(guò)清理檢查，逃離 n8n 表達(dá)式沙箱機(jī)制。

5. 發(fā)現(xiàn)者：包括報(bào)告 CVE-2025-68613 的 Fatih ?elik 在內(nèi)，共10位安全研究人員（來(lái)自 Endor Labs、Pillar Security、SecureLayer7 等機(jī)構(gòu)）因發(fā)現(xiàn)該漏洞受到表彰。

二、漏洞影響范圍與攻擊手法

▌受影響版本（已明確修復(fù)版本，速查對(duì)照）

- n8n < 1.123.17（已在 1.123.17 版本中修復(fù)）

- n8n < 2.5.2（已在 2.5.2 版本中修復(fù)）

▌攻擊條件

已獲得認(rèn)證、且有權(quán)創(chuàng)建或修改工作流的用戶，即可濫用工作流參數(shù)中精心構(gòu)造的表達(dá)式，觸發(fā)系統(tǒng)命令執(zhí)行；若結(jié)合 n8n 的 webhook 功能，攻擊難度大幅降低、影響范圍顯著擴(kuò)大。

▌具體攻擊手法

據(jù) SecureLayer7 披露，攻擊者只需創(chuàng)建包含“未啟用身份驗(yàn)證的公開(kāi)可訪問(wèn) webhook”的工作流，添加一行使用解構(gòu)語(yǔ)法的 JavaScript 代碼，即可濫用該工作流執(zhí)行系統(tǒng)級(jí)命令。

一旦 webhook 暴露，互聯(lián)網(wǎng)上的任何人都可觸發(fā)該 webhook，遠(yuǎn)程運(yùn)行系統(tǒng)命令——正如 Pillar Security 的 Eilon Cohen 所說(shuō)：“這種攻擊不需要任何特殊技巧，只要你能創(chuàng)建一個(gè)工作流，就能控制服務(wù)器?！?/p>

三、漏洞危害（嚴(yán)重且直接）

成功利用該漏洞，攻擊者可實(shí)現(xiàn)多重惡意操作，危害極大：

1. 入侵服務(wù)器，執(zhí)行任意系統(tǒng)命令，安裝持久后門，實(shí)現(xiàn)長(zhǎng)期控制；

2. 竊取敏感憑據(jù)，包括 API 密鑰、云提供商密鑰、數(shù)據(jù)庫(kù)密碼、OAuth 令牌等；

3. 訪問(wèn)服務(wù)器文件系統(tǒng)和內(nèi)部系統(tǒng)，泄露核心敏感數(shù)據(jù)；

4. 攻擊連接的云帳戶，劫持人工智能（AI）工作流程；

5. 結(jié)合 webhook 功能可實(shí)現(xiàn)大范圍遠(yuǎn)程攻擊，影響更多關(guān)聯(lián)系統(tǒng)。

四、緊急修復(fù)與臨時(shí)防護(hù)方案（必做）

▌優(yōu)先修復(fù)方案（最有效，立即執(zhí)行）

立即將 n8n 升級(jí)至對(duì)應(yīng)修復(fù)版本，杜絕漏洞被利用：

- 1.x 版本用戶：升級(jí)至 1.123.17 及以上版本；

- 2.x 版本用戶：升級(jí)至 2.5.2 及以上版本；

升級(jí)后重啟 n8n 服務(wù)，確保修復(fù)生效。

▌臨時(shí)變通方法（無(wú)法立即升級(jí)時(shí)，降低風(fēng)險(xiǎn)）

1. 嚴(yán)格權(quán)限管控：僅允許完全信任的用戶創(chuàng)建和編輯工作流，禁用非必要用戶的工作流操作權(quán)限；

2. 強(qiáng)化部署環(huán)境：在操作系統(tǒng)權(quán)限、網(wǎng)絡(luò)訪問(wèn)權(quán)限受限的強(qiáng)化環(huán)境中部署 n8n，減少漏洞利用后的危害范圍；

3. 臨時(shí)關(guān)閉公開(kāi) webhook：若無(wú)需使用，暫時(shí)關(guān)閉未啟用身份驗(yàn)證的公開(kāi) webhook，避免被攻擊者利用。

▌安全啟示

Endor Labs 提醒：該漏洞凸顯多層驗(yàn)證的重要性，即使 TypeScript 類型檢查看似強(qiáng)大，處理不受信任輸入時(shí)，仍需添加額外的運(yùn)行時(shí)檢查；代碼審查中，需重點(diǎn)關(guān)注清理函數(shù)，排查未在運(yùn)行時(shí)強(qiáng)制執(zhí)行的輸入類型假設(shè)。

五、n8n 同步披露的其他 11 個(gè)漏洞（速查，按需修復(fù)）

除 CVE-2026-25049 外，n8n 還同步發(fā)布了11個(gè)漏洞的安全警報(bào)，其中5個(gè)為“嚴(yán)重”等級(jí)，均已推出修復(fù)版本，建議一并檢查升級(jí)：

1. CVE-2026-21893（CVSS 9.4，嚴(yán)重）：命令注入漏洞，已在 1.120.3 版本修復(fù)；

2. CVE-2026-25051（CVSS 8.5，高）：跨站腳本（XSS）漏洞，已在 1.123.2 版本修復(fù)；

3. CVE-2026-25052（CVSS 9.4，嚴(yán)重）：TOCTOU 文件訪問(wèn)漏洞，已在 2.5.0、1.123.18 版本修復(fù)；

4. CVE-2026-25053（CVSS 9.4，嚴(yán)重）：Git 節(jié)點(diǎn)命令注入漏洞，已在 2.5.0、1.123.10 版本修復(fù)；

5. CVE-2026-25054（CVSS 8.5，高）：存儲(chǔ)型 XSS 漏洞，已在 2.2.1、1.123.9 版本修復(fù)；

6. CVE-2026-25055（CVSS 7.1，中高）：路徑遍歷漏洞，已在 2.4.0、1.123.12 版本修復(fù)；

7. CVE-2026-25056（CVSS 9.4，嚴(yán)重）：合并節(jié)點(diǎn) SQL 漏洞，已在 2.4.0、1.118.0 版本修復(fù)；

8. CVE-2026-25115（CVSS 9.4，嚴(yán)重）：Python 代碼節(jié)點(diǎn)沙箱突破漏洞，已在 2.4.8 版本修復(fù)；

9. CVE-2026-25631（CVSS 5.3，中）：憑據(jù)域驗(yàn)證不當(dāng)漏洞，已在 1.121.0 版本修復(fù)；

10. CVE-2025-61917（CVSS 7.7，中高）：敏感信息泄露漏洞，已在 1.114.3 版本修復(fù)；

11. CVE-2025-62726（CVSS 8.8，高）：Git Node 遠(yuǎn)程代碼執(zhí)行漏洞，已在 1.113.0 版本修復(fù)。

溫馨提示：n8n 作為常用工作流自動(dòng)化平臺(tái)，其漏洞可能影響大量企業(yè)的業(yè)務(wù)正常運(yùn)行，建議相關(guān)運(yùn)維人員、技術(shù)人員立即核查自身使用的 n8n 版本，優(yōu)先完成升級(jí)修復(fù)；非技術(shù)人員請(qǐng)及時(shí)聯(lián)系公司運(yùn)維團(tuán)隊(duì)，確認(rèn)防護(hù)措施已落實(shí)。

安全圈

網(wǎng)羅圈內(nèi)熱點(diǎn) 專注網(wǎng)絡(luò)安全

實(shí)時(shí)資訊一手掌握！

好看你就分享 有用就點(diǎn)個(gè)贊

支持「安全圈」就點(diǎn)個(gè)三連吧！