CRITICALCVE-2026-27493CVSS 9

n8n 存在 Form 节点中的非身份验证表达式评估漏洞

Q: 什么是 CVE-2026-27493 — RCE in n8n 工作流自动化?

CVE-2026-27493 是 n8n 工作流自动化平台中发现的远程代码执行漏洞，允许攻击者通过提交恶意表单数据注入并执行任意 n8n 表达式。

Q: 我是否受到 CVE-2026-27493 in n8n 工作流自动化的影响?

如果您正在使用 n8n 1.123.22 之前的版本，并且配置了包含用户输入插值的表单节点，则可能受到影响。

Q: 我如何修复 CVE-2026-27493 in n8n 工作流自动化?

立即升级到 n8n 1.123.22 或更高版本。如果无法升级，请审查工作流配置并实施输入验证和访问控制。

Q: CVE-2026-27493 是否正在被积极利用?

目前尚无公开的漏洞利用代码，但由于漏洞的严重性，建议尽快采取缓解措施。

Q: 在哪里可以找到 n8n 官方关于 CVE-2026-27493 的公告?

请访问 n8n 官方安全公告页面，查找有关 CVE-2026-27493 的详细信息：[https://n8n.io/security](https://n8n.io/security)

平台

nodejs

组件

n8n

修复版本

1.123.23

2.0.1

2.10.1

1.123.22

AI Confidence: highNVDEPSS 0.2%已审阅: 2026年5月

在NVD查看

保存

CVE-2026-27493 描述了 n8n 工作流自动化平台中的一个二次表达式注入漏洞。该漏洞允许未经身份验证的攻击者通过提交精心构造的表单数据注入并评估任意 n8n 表达式，在特定配置下可能导致远程代码执行。受影响的版本包括 n8n 1.123.22 之前的版本，建议用户尽快升级到 1.123.22 或更高版本以修复此问题。

影响与攻击场景

该漏洞的潜在影响非常严重。攻击者可以利用此漏洞注入并执行任意 n8n 表达式，从而完全控制受影响的 n8n 实例。这可能导致敏感数据泄露、系统配置更改，甚至远程代码执行。为了成功利用此漏洞，攻击者需要特定的工作流配置：一个包含从未经身份验证的用户提供的输入进行插值的表单节点，并且该输入值必须以 = 字符开头。如果结合表达式沙箱逃逸，攻击者可以绕过安全限制，执行任意代码。

利用背景

目前尚无公开的漏洞利用代码，但由于漏洞的严重性和潜在影响，建议尽快采取缓解措施。该漏洞已于 2026 年 2 月 25 日公开披露。CISA 尚未将其添加到 KEV 目录，但根据漏洞的严重性，可能在未来被添加到 KEV 目录中。建议持续关注安全公告和漏洞报告。

哪些人处于风险中翻译中…

Organizations heavily reliant on n8n for workflow automation, particularly those with publicly accessible forms or integrations that accept user-provided input, are at significant risk. Environments with legacy n8n configurations or those lacking robust input validation practices are especially vulnerable. Shared hosting environments where multiple users share the same n8n instance also face increased risk due to the potential for cross-tenant exploitation.

检测步骤翻译中…

• nodejs / server: Monitor n8n logs for unusual expression execution patterns or errors related to expression parsing. Use journalctl -u n8n to filter for relevant log entries. • nodejs / server: Check for unexpected processes running under the n8n user account using ps aux | grep n8n. • generic web: Inspect n8n access logs for suspicious requests containing = characters in form parameters, particularly those targeting form submission endpoints. Use curl -v <n8nformendpoint> to test for injection. • generic web: Review n8n configuration files for any insecure expression handling practices.

攻击时间线

2026-02-25Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

报告1 份威胁报告

EPSS

0.23% (46% 百分位)

CISA SSVC

利用情况none

可自动化no

技术影响total

受影响的软件

组件n8n

供应商osv

影响范围修复版本

< 1.123.22 – < 1.123.221.123.23

>= 2.0.0, < 2.9.3 – >= 2.0.0, < 2.9.32.0.1

>= 2.10.0, < 2.10.1 – >= 2.10.0, < 2.10.12.10.1

—1.123.22

弱点分类 (CWE)

CWE-94 CWE-95

时间线

已保留2026-02-19
发布日期2026-02-25
修改日期2026-02-28
EPSS 更新日期2026-03-23

缓解措施和替代方案

缓解此漏洞的最佳方法是立即升级到 n8n 1.123.22 或更高版本。如果无法立即升级，可以考虑以下临时缓解措施：首先，审查所有工作流配置，确保没有以 = 开头的用户输入被插值到表达式中。其次，限制 n8n 实例的访问权限，仅允许必要的用户和系统访问。第三，实施严格的输入验证和清理，以防止恶意表达式注入。最后，监控 n8n 日志，查找任何可疑活动。

修复方法

将 n8n 更新到版本 2.10.1、2.9.3、1.123.22 或更高版本。如果无法立即更新，请手动检查 Form 节点的使用情况，以查找上述先决条件，禁用 Form 节点通过将 `n8n-nodes-base.form` 添加到环境变量 `NODES_EXCLUDE`，以及/或禁用 Form Trigger 节点通过将 `n8n-nodes-base.formTrigger` 添加到环境变量 `NODES_EXCLUDE`。

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2026-27493 — RCE in n8n 工作流自动化?