n8n工作流程自動化平臺修補重大漏洞,未更新可能導致遠端執行任意程式碼攻擊
漏洞概述
工作流程自動化平臺n8n近日發布安全公告,修補多項重大資安漏洞,其中包含可能導致遠端執行程式碼的嚴重缺陷。
主要漏洞詳情
- CVE-2026-33660:問題出現在「Merge」節點的「Combine by SQL」模式,使用AlaSQL沙箱對SQL指令處理存在缺陷,攻擊者可藉此執行任意程式碼或存取主機檔案。
- CVE-2026-27493:資安公司Pillar Security揭露此漏洞,屬於沙箱逃逸與未經驗證的表達式評估問題,攻擊者可繞過安全檢查,執行遠端程式碼。
- CVE-2025-68613:出現於工作流程的表達式評估系統,若在執行情境中未正確驗證,攻擊者可執行任意程式碼。
- CVE-2026-1470與CVE-2026-0863:可繞過安全檢查機制,導致沙箱逃逸,增加攻擊者對系統的控制權。
- CVE-2026-21858:攻擊者可透過對外表單流程,在未驗證情況下讀取主機檔案,影響範圍為1.65.0及以前版本。
風險與影響
這些漏洞若未及時更新,攻擊者可透過建立簡單的工作流程,直接對伺服器執行指令,甚至接管整個系統,造成嚴重安全危機。
補救建議
使用者應立即更新至最新版本的n8n,並確保所有工作流程中的表達式與SQL指令均經過嚴謹驗證,以降低被攻擊風險。