游乐游手机版
首页/科技数码/文章详情

N8n自动化平台再现6个安全漏洞,4个高危可致远程代码执行

时间:2026-02-09 20:40
Hassan建议,安全主管需了解环境中所有应用的业务逻辑和数据流来管控漏洞风险,同时可通过网络隔离降低风险,并允许工程团队在应用上线前创建沙箱进行全面测试。 用于构建LLM驱动Agent以实现业务流

Hassan强调,安全主管需要全面掌握环境中每一个应用的业务逻辑与数据流向,才能有效管理漏洞风险。通过实施网络隔离可以降低威胁,并且允许工程团队在上线前创建沙箱环境进行全面测试。

用于构建LLM驱动Agent以实现业务流程连接的n8n工作流平台,近期新发现6个安全漏洞,其中4个被评定为高危,CVSS严重性评分高达9.4分。

以色列云安全供应商Upwind的安全研究员Amit Genkin明确指出:“这些漏洞覆盖多种攻击类型,从远程代码执行、命令注入到任意文件访问和跨站脚本攻击,其攻击目标往往是能够访问密钥、凭证、内部API和业务关键逻辑的常用部署平台。”

SANS研究所研究院院长Johannes Ullrich表示,这些漏洞影响了n8n对不同用户创建进程的沙箱隔离机制,以及主机层面对n8n用户的防护能力。他在邮件中提到:“这对单用户系统影响较小,但n8n通常安装在共享环境中。考虑到漏洞数量和严重性,我们有理由认为这可能只是‘冰山一角’。目前应谨慎对待多用户n8n部署。”

这是今年内n8n平台第二次被曝出重大安全问题。四周前,Cyera研究人员在漏洞修复后披露了一个高危漏洞细节,该漏洞可使未经认证的攻击者完全接管n8n部署。上月还发现威胁行为者通过在npm注册表中植入伪装成合法n8n插件的恶意包来攻击n8n。

漏洞详情

●(CVE-2026-21893):n8n社区版命令注入漏洞,CVSS评分9.4。具有管理员权限的未认证用户可在n8n主机上执行任意系统命令。Upwind指出:“社区扩展通常被高度信任,这放大了风险,使其成为直接连接应用层功能与主机级执行的高影响攻击路径。”

●(CVE-2026-25049):CVSS评分9.4。具有创建工作流权限的认证用户可滥用工作流参数中的特定表达式,在n8n主机上触发非预期的系统命令执行。Upwind表示:“由于工作流表达式是n8n核心常用功能,该漏洞显著降低了利用门槛,可能导致底层主机完全沦陷。”

●(CVE-2026-25052):CVSS评分9.4。文件访问控制漏洞允许具有创建工作流权限的认证用户读取n8n主机系统的敏感文件,可获取关键配置数据和用户凭证,导致实例上任意用户账户被完全接管。

●(CVE-2026-25053):CVSS评分9.4。Git节点漏洞允许执行系统命令或任意文件访问。

●(CVE-2026-25051):处理webhook响应及相关HTTP端点时的跨站脚本漏洞,CVSS评分8.5。特定条件下,用于隔离HTML响应的n8n内容安全策略(CSP)沙箱保护可能失效,具有创建工作流权限的认证用户可诱使其他用户与特制工作流交互时执行同源特权恶意脚本,导致会话劫持和账户接管。

●(CVE-2025-61917):CVSS评分7.7。n8n任务运行器中不安全缓冲区分配导致的信息泄漏漏洞。

风险现状与缓解建议

Upwind研发与创新副总裁Moshe Hassan在采访中估计,约83%客户使用n8n平台,但不足25%将其用于生产环境或暴露于互联网,其余处于测试阶段。他警告称,测试用户若在评估过程中输入AWS等云平台的身份令牌仍面临风险,且大量开发者测试最新AI相关应用使安全团队难以控制漏洞潜在影响范围。

Hassan建议,安全主管需要深入了解环境中所有应用的业务逻辑和数据流来管理漏洞风险,同时可通过网络隔离降低威胁,并允许工程团队在应用上线前创建沙箱进行全面测试。使用n8n的企业和开发者应立即升级至最新版本修复新发现漏洞。

来源:https://www.51cto.com/article/836063.html
上一篇达摩鲨M9无线鼠标发布:专业大手设计,59g轻量8kHz高回报 下一篇2050愿景创意征集:用务实远见,共绘普惠未来
本站内容用于信息整理与展示,如有侵权或内容问题请及时联系处理。

相关推荐

补充同频道和同主题内容,方便继续浏览更多相关内容。

同类最新

继续查看同栏目最近更新的文章。

更多
泰坦军团战魂KG277VPLUS双模显示器27英寸4K165Hz/520Hz仅1888元
科技数码 · 2026-07-03

泰坦军团战魂KG277VPLUS双模显示器27英寸4K165Hz/520Hz仅1888元

泰坦军团“战魂KG277VPLUS”27英寸显示器发售,支持4K165Hz与FHD520Hz双模切换,定价1888元。采用FastIPS面板,97%DCI-P3色域,配备升降支架及双HDMI2 1和双DP1 4接口。

苹果调价影响消费需求 2026年全球笔电出货量或降13.6%
科技数码 · 2026-07-03

苹果调价影响消费需求 2026年全球笔电出货量或降13.6%

迈入2026年,DRAM与NAND闪存的供应持续紧张及价格不断攀升,正逐步传导至终端消费市场。可以预见,下半年市场环境将更加严峻。上半年多家PC厂商已陆续上调产品定价,最终连苹果也不得不跟进,宣布提升iPad、Mac及家居设备的价格,以应对存储成本的快速上涨。 TrendForce分析指出,苹果全面

苹果iPhone 18 Pro自研C2芯片或不支持5G毫米波
科技数码 · 2026-07-03

苹果iPhone 18 Pro自研C2芯片或不支持5G毫米波

苹果自研C2芯片仅支持Sub-6GHz,不支持5G毫米波。因此,美版iPhone18Pro继续采用高通基带方案以支持毫米波,而其他地区版本则搭载苹果自研C2芯片。这一差异将导致在毫米波覆盖的市场中,用户峰值速率可能显著低于美版用户。

纳睿雷达推出睿宸超精细化短时临近AI气象大模型
科技数码 · 2026-07-03

纳睿雷达推出睿宸超精细化短时临近AI气象大模型

纳睿雷达近日释放了一项重磅成果。2026年7月1日,公司正式对外发布了两款自主研发的全新产品:一款是“WDSPT0152型”S波段全极化多功能有源相控阵雷达,另一款则是名为“睿宸”的超精细化短时临近AI气象大模型。从产品战略来看,此次发布直指气象监测与灾害预警领域的技术制高点。 先来看这款S波段雷达

南航国际创新港一期交付 四大专业园区打造空天产业强磁场
科技数码 · 2026-07-03

南航国际创新港一期交付 四大专业园区打造空天产业强磁场

近日,南京航空航天大学与六合区深度合作的标杆项目——南航国际创新港一期正式交付投用。两个地块陆续启用,成功串联起高校科研能量、地方产业载体与市场创新主体,为南京打造全国领先的航空航天产业创新中心、助力江苏布局商业航天全产业链,提供了坚实的物理支撑。 该创新港一期位于六合区雄州街道,分为3号和4号两个