n8n工作流程自動化平臺修補重大漏洞，未更新可能導致遠端執行任意程式碼攻擊

漏洞概要

工作流程自動化平臺n8n近期發布多項安全公告，修補多個可能導致遠端執行程式碼的重大漏洞，其中包括CVE-2026-27493、CVE-2026-27577、CVE-2026-21858與CVE-2025-68613。

針對CVE-2026-27493，攻擊者可透過n8n的Merge節點在「Combine by SQL」模式下，利用AlaSQL沙箱對SQL指令處理的缺陷，執行任意程式碼或存取主機檔案。

另一個重大漏洞CVE-2025-68613，出現在工作流程的表達式評估系統中，攻擊者可在執行情境中執行未經驗證的表達式，導致遠端程式碼執行（RCE）。

此外，n8n平臺存在沙箱逃逸與未經驗證的表達式評估漏洞，攻擊者可透過對外表單流程讀取主機檔案，或繞過安全檢查機制，使原本僅應在流程內運作的邏輯變為可對作業系統下令的權杖。

部分漏洞被評為嚴重，CVSS評分達9.4至9.9分，若未及時更新，可能導致攻擊者接管伺服器或存取敏感資料。

受影響版本涵蓋n8n 1.65.0及以前版本，且全球已有超過10萬個執行個體面臨風險，若與webhook功能結合，問題嚴重性將進一步提升。

n8n開發團隊已發布更新，建議使用者盡快升級至最新版本以確保安全。