聚焦源代码安全网罗国内外最新资讯编译代码卫士网络安全研究人员披露了位于n8n工作流自动化平台中的两个严重漏洞它们可导致任意命令执行现已修复。CVE-2026-27577CVSS评分9.4是一个表达式沙箱逃逸漏洞可导致远程代码执行RCE后果。CVE-2026-27493CVSS评分9.5是通过n8n表单节点进行未经身份验证的表达式评估漏洞。这两个漏洞由 Pillar Security 公司的研究员 Eilon Cohen 发现并报送他表示“CVE-2026-27577是表达式编译器中的一个沙箱逃逸漏洞抽象语法树重写器中的一个缺失案例让进程能够未经转换而溜过使任何经过身份验证的表达式都能获得完整的RCE能力。该研究员提到CVE-2026-27493是位于n8n表单节点中的一个双重评估漏洞攻击者可利用表单端点默认公开且无需身份验证或n8n账户这一特性通过表达式注入滥用该漏洞。成功利用该漏洞只需利用一个公开的联系我们表单通过在姓名字段中输入有效载荷即可执行任意shell命令。n8n在上月底发布的安全公告中表示拥有创建或修改工作流权限的认证用户可以通过在工作流参数中构造恶意表达式利用CVE-2026-27577在运行n8n的主机上触发意外的系统命令执行。n8n还指出CVE-2026-27493与类似CVE-2026-27577的表达式沙箱逃逸漏洞结合使用时可能升级为在n8n主机上的远程代码执行。这两个漏洞均影响n8n的自托管和云部署版本包括 1.123.22以下版本、2.0.0及以上且 2.9.3以下版本以及2.10.0及以上且2.10.1以下版本它们已在2.10.1、2.9.3和1.123.22版本中修复。如果无法立即修复CVE-2026-27577思科建议用户仅允许完全受信任用户拥有工作流创建和编辑权限并在加固环境中部署n8n并限制操作系统权限和网络访问权限。对于CVE-2026-27493n8n建议采取以下缓解措施手动检查表单节点的使用情况是否满足上述前提条件。将n8n-nodes-base.form添加到NODES_EXCLUDE环境变量禁用表单节点。将n8n-nodes-base.formTrigger添加到NODES_EXCLUDE环境变量禁用表单触发节点。维护者提醒称这些变通方案不能完全消除风险应仅作为短期缓解措施使用。研究人员表示攻击者可利用这些漏洞读取N8N_ENCRYPTION_KEY环境变量并解密存储在n8n数据库中的所有凭证包括AWS密钥、数据库密码、OAuth令牌和API密钥。n8n版本2.10.1、2.9.3和1.123.22还修复了其它两个严重漏洞可用于执行任意代码CVE-2026-27495CVSS评分9.4——拥有创建或修改工作流权限的认证用户可能利用JavaScript任务运行器沙箱中的代码注入漏洞在沙箱边界之外执行任意代码。CVE-2026-27497CVSS评分9.4——拥有创建或修改工作流权限的认证用户可能利用合并节点的SQL查询模式在n8n服务器上执行任意代码并写入任意文件。除了仅允许受信任用户拥有工作流创建和编辑权限外n8n还为每个漏洞概述了以下变通方案CVE-2026-27495使用外部运行器模式N8N_RUNNERS_MODEexternal限制影响范围。CVE-2026-27497——通过将n8n-nodes-base.merge添加到NODES_EXCLUDE环境变量来禁用合并节点。虽然n8n未提及这些漏洞已遭在野利用但建议用户升级至最新版本获得最佳防护措施。开源卫士试用地址https://oss.qianxin.com/#/login代码卫士试用地址https://sast.qianxin.com/#/login推荐阅读n8n出现新漏洞可用于执行系统命令n8n 两个高危漏洞可导致认证RCEn8n 满分漏洞 Ni8mare 可导致服务器遭劫持n8n严重漏洞可导致任意代码执行原文链接https://thehackernews.com/2026/03/critical-n8n-flaws-allow-remote-code.html题图Pixabay License本文由奇安信编译不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。奇安信代码卫士 (codesafe)国内首个专注于软件开发安全的产品线。觉得不错就点个 “在看” 或 赞” 吧~