工作流程自動化平臺n8n存在重大沙箱繞過漏洞，通過身分驗證的攻擊者有機會接管系統

漏洞概述

資安公司JFrog公佈工作流程自動化平臺n8n的資安漏洞，編號為CVE-2026-1470與CVE-2026-0863，這些漏洞能繞過檢查機制或進行沙箱逃逸，其中又以評為重大風險。

開源工作流程自動化平臺n8n出現嚴重漏洞CVE-2026-21858，攻擊者可透過對外表單流程，在未驗證情況下讀取主機檔案，受影響範圍為1.65.0含以前版本。

研究人員發現，該漏洞繞過了既有的驗證機制，使攻擊者能取得底層shell 的存取權。官方已發布修復版本，強烈建議用戶應立即檢查系統pipeline 的安全性。

官方說明問題出在對外提供的表單相關流程，存在不當的Webhook請求處理行為，使未經驗證的遠端攻擊者有機會觸發特定流程而讀取底層伺服器檔案內容。

npm維護團隊表示，該漏洞存在於工作流配置期間，在某些情況下，經過身份驗證的用戶提供的表達式，可能會在未與底層運行時充分隔離的執行上下文中進行評估。

最近爆出n8n有一個嚴重的遠端程式碼執行漏洞(RCE)，編號是CVE-2025-68613，CVSS評分是9.9/10（幾乎是最高的嚴重程度）。

建議用戶立即更新至最新版本，並檢視系統中所有與n8n相關的流程，以確保其安全性。同時，應加強對外部請求的驗證機制，並限制使用者對系統主機的執行權限。