关键n8n漏洞允许远程代码执行和存储凭据泄露

网络安全研究人员披露了n8n工作流自动化平台中两个现已修补的安全漏洞详情，包括两个可能导致任意命令执行的关键漏洞。

这些漏洞如下：

CVE-2026-27577（CVSS评分：9.4）- 表达式沙箱逃逸导致远程代码执行（RCE）

CVE-2026-27493（CVSS评分：9.5）- 通过n8n表单节点进行未认证表达式求值

发现并报告这些问题的Pillar Security研究员Eilon Cohen在分享给The Hacker News的报告中表示：”CVE-2026-27577是表达式编译器中的沙箱逃逸漏洞：AST重写器中缺失的案例让进程未经转换就溜过去，为任何经过认证的表达式提供完整的远程代码执行能力。”

该网络安全公司将CVE-2026-27493描述为n8n表单节点中的”双重求值漏洞”，可以通过利用表单端点在设计上是公开的且无需认证或n8n账户这一事实来被滥用进行表达式注入。

成功利用这个漏洞只需要利用公开的”联系我们”表单，通过在姓名字段中输入载荷来执行任意shell命令。

在上月底发布的公告中，n8n表示CVE-2026-27577可能被有权创建或修改工作流的认证用户武器化，通过在工作流参数中使用精心制作的表达式在运行n8n的主机上触发意外的系统命令执行。

n8n还指出，CVE-2026-27493与表达式沙箱逃逸漏洞（如CVE-2026-27577）链接时，可能”升级为n8n主机上的远程代码执行”。这两个漏洞都影响n8n的自托管和云部署版本：

如果无法立即修补CVE-2026-27577，建议用户限制工作流创建和编辑权限只给完全信任的用户，并在具有受限操作系统权限和网络访问的强化环境中部署n8n。

对于CVE-2026-27493，n8n建议以下缓解措施：

手动审查表单节点的使用情况是否存在上述前提条件。

通过将n8n-nodes-base.form添加到NODES_EXCLUDE环境变量来禁用表单节点。

通过将n8n-nodes-base.formTrigger添加到NODES_EXCLUDE环境变量来禁用表单触发器节点。

维护者警告：”这些变通方法不能完全消除风险，只能用作短期缓解措施。”

Pillar Security表示，攻击者可以利用这些漏洞读取N8N_ENCRYPTION_KEY环境变量，并使用它解密存储在n8n数据库中的每个凭据，包括AWS密钥、数据库密码、OAuth令牌和API密钥。

n8n版本2.10.1、2.9.3和1.123.22还解决了另外两个关键漏洞，这些漏洞也可能被滥用来实现任意代码执行：

CVE-2026-27495（CVSS评分：9.4）- 有权创建或修改工作流的认证用户可以利用JavaScript任务运行器沙箱中的代码注入漏洞在沙箱边界外执行任意代码。

CVE-2026-27497（CVSS评分：9.4）- 有权创建或修改工作流的认证用户可以利用合并节点的SQL查询模式执行任意代码并在n8n服务器上写入任意文件。

除了限制工作流创建和编辑权限只给信任的用户外，n8n还为每个漏洞概述了以下变通方案：

CVE-2026-27495 – 使用外部运行器模式（N8N_RUNNERS_MODE=external）来限制影响范围。

CVE-2026-27497 – 通过将n8n-nodes-base.merge添加到NODES_EXCLUDE环境变量来禁用合并节点。

虽然n8n没有提及这些漏洞中的任何一个在野外被利用，但建议用户保持安装的最新状态以获得最佳保护。

Q&A

Q1：CVE-2026-27577和CVE-2026-27493是什么类型的漏洞？

A：CVE-2026-27577是表达式沙箱逃逸漏洞，可导致远程代码执行，CVSS评分为9.4。CVE-2026-27493是通过n8n表单节点进行未认证表达式求值的漏洞，CVSS评分为9.5。这两个都是关键级别的安全漏洞。

Q2：攻击者如何利用这些n8n漏洞？

A：攻击者可以通过公开的”联系我们”表单在姓名字段中输入载荷来执行任意shell命令。当这些漏洞被链接利用时，攻击者还可以读取N8N_ENCRYPTION_KEY环境变量，解密数据库中存储的所有凭据，包括AWS密钥、数据库密码等。

Q3：如何防护这些n8n安全漏洞？

A：建议立即升级到修复版本2.10.1、2.9.3或1.123.22。如果无法立即升级，可以限制工作流创建权限只给信任用户，禁用表单节点和合并节点，使用外部运行器模式等临时缓解措施，但这些方法不能完全消除风险。