开源工作流自动化平台n8n警告发现一个最高严重级别的安全漏洞,如果被成功利用,可能导致经过身份验证的远程代码执行攻击。
该漏洞已被分配CVE标识符CVE-2026-21877,在CVSS评分系统中被评为10.0分的满分等级。
n8n在周二发布的安全公告中表示:"在特定条件下,经过身份验证的用户可能能够导致不受信任的代码被n8n服务执行。这可能导致受影响实例的完全妥协。"
维护人员表示,自托管部署和n8n云实例都会受到影响。该问题影响以下版本:
版本大于等于0.123.0且小于1.121.3的所有版本。
该漏洞已在2025年11月发布的1.121.3版本中得到修复。安全研究员Théo Lelasseux发现并报告了这个漏洞。
建议用户升级到该版本或更高版本以完全解决漏洞问题。如果无法立即进行补丁更新,管理员必须通过禁用Git节点和限制不受信任用户的访问来限制暴露范围。
此次披露正值n8n平台接连出现一系列关键漏洞之际,包括CVE-2025-68613和CVE-2025-68668(CVSS评分:9.9),这些漏洞在特定条件下可能导致代码执行。
Q&A
Q1:CVE-2026-21877漏洞有多严重?
A:这是一个CVSS评分为10.0分的最高严重级别漏洞,可能导致经过身份验证的远程代码执行,最终可能完全妥协受影响的n8n实例。
Q2:哪些n8n版本会受到这个漏洞影响?
A:影响版本范围是大于等于0.123.0且小于1.121.3的所有版本,包括自托管部署和n8n云实例都会受到影响。
Q3:如何防护这个n8n安全漏洞?
A:最佳解决方案是升级到1.121.3版本或更高版本。如果无法立即更新,管理员应禁用Git节点并限制不受信任用户的访问权限来降低风险。
