安全研究机构Pillar Security日前公开了开源工作流自动化平台n8n中存在的多个高危安全漏洞。这些漏洞涉及表达式沙箱逃逸、未授权表达式求值等问题,可能被恶意利用导致数据泄露和系统入侵。 最为严重的是两个漏洞:CVE-2026-27577和CVE-2026-27493。 CVE-2026-27577是表达式编译器中的沙箱逃逸漏洞,危险等级评分9.4分。该漏洞源于AST重写器的案例遗漏,导致部分进程未经安全转换直接执行。具有权限的用户可借此在n8n运行的主机上执行意外的系统命令。 CVE-2026-27493是表单节点的双重求值漏洞,危险等级评分9.5分。由于表单端点本身为公开访问、无需认证,攻击者仅需通过公开的"联系我们"表单在特定字段输入恶意代码,就可远程执行任意shell命令。 这两个漏洞的危害被继续放大。攻击者可通过它们读取n8n系统中的N8N_ENCRYPTION_KEY环境变量,进而解密数据库中保存的全部凭据信息,包括AWS访问密钥、数据库密码、OAuth令牌和API密钥等。一旦被恶意利用,企业在n8n平台上关联的整个云生态可能面临全面沦陷的风险。 此外,n8n还修复了另外两个关键漏洞。CVE-2026-27495涉及JavaScript任务运行器的代码注入缺陷,允许授权用户在沙箱边界外执行任意代码;CVE-2026-27497存在于合并节点的SQL查询模式中,可被利用执行任意代码并在服务器上写入文件。四个漏洞的危险等级均在9.4分以上。 n8n官方已在版本2.10.1、2.9.3和1.123.22中完成修复,并提出了防护建议。对于CVE-2026-27577,建议限制工作流创建和编辑权限,仅授予信任用户,并在强化环境中部署。对于CVE-2026-27493,可通过审查表单节点使用情况或禁用涉及的节点进行防护。CVE-2026-27495可通过启用外部运行器模式限制影响。CVE-2026-27497则可通过环境变量配置禁用合并节点。 虽然n8n官方目前未发现这些漏洞在野外被恶意利用的证据,但鉴于漏洞的危害程度和易利用性,及时修复已成为当务之急。这些漏洞同时影响n8n的自托管和云部署版本,两类用户都需要关注此事。
漏洞治理的核心不在"是否发生",而在"能否把影响锁在最小范围";随着工作流平台承载的凭据、接口与数据越来越多,任何一处输入处理或隔离边界的疏漏都可能放大为系统性风险。对企业而言,尽快完成版本更新只是第一步,更重要的是通过制度化的权限管理、审计追踪与安全加固,在提升自动化效率的同时守住安全底线。