n8n工作流程自動化平臺修補重大漏洞,未更新可能導致遠端執行任意程式碼攻擊
漏洞概要
工作流程自動化平臺n8n近期發現多項重大資安漏洞,包括CVE-2026-27493、CVE-2026-27577、CVE-2026-21858及CVE-2026-1470等,這些漏洞可能導致攻擊者執行遠端程式碼或存取主機檔案。
漏洞細節
- CVE-2026-27493:由資安公司Pillar Security揭露,屬於重大沙箱逃逸漏洞,攻擊者可繞過安全機制,執行任意程式碼。
- CVE-2026-27577:同樣為重大漏洞,涉及表達式評估系統,可能導致遠端程式碼執行(RCE)。
- CVE-2026-21858:出現於1.65.0版本以前,攻擊者可透過未驗證的外表單流程讀取主機檔案。
- 類型混淆漏洞:攻擊者可繞過TypeScript檢查,使流程邏輯直接對作業系統發出指令,僅需一行程式碼即可達成。
- Webhook功能漏洞:結合webhook功能後,攻擊者可建立無需身分驗證的請求,大幅增加攻擊風險。
影響範圍與建議
受影響版本涵蓋n8n 1.65.0以前版本,建議使用者立即更新至最新穩定版本以避免風險。