HIGHCVE-2026-27498CVSS 8.5

n8n 存在通过文件写入和 Git 操作实现任意命令执行的漏洞

Q: 什么是 CVE-2026-27498 — RCE in n8n 工作流自动化?

CVE-2026-27498 是 n8n 工作流自动化平台中的远程代码执行漏洞，允许攻击者在 n8n 主机上执行任意 shell 命令。

Q: 我是否受到 CVE-2026-27498 in n8n 的影响?

如果您正在使用 n8n 2.1.x 或 1.123.0 之前的版本，则可能受到此漏洞的影响。

Q: 我如何修复 CVE-2026-27498 in n8n?

升级到 n8n 1.123.8 或 2.2.0 或更高版本以修复此漏洞。

Q: CVE-2026-27498 是否正在被积极利用?

目前尚未确认 CVE-2026-27498 正在被积极利用，但由于漏洞的严重性，预计未来可能会出现。

Q: 在哪里可以找到 n8n 官方关于 CVE-2026-27498 的公告?

请访问 n8n 的官方安全公告页面，以获取有关此漏洞的更多信息：[https://n8n.io/security](https://n8n.io/security)

平台

nodejs

组件

n8n

修复版本

1.123.9

2.0.1

1.123.8

AI Confidence: highNVDEPSS 0.4%已审阅: 2026年5月

在NVD查看

保存

CVE-2026-27498 是 n8n 工作流自动化平台中的远程代码执行 (RCE) 漏洞。攻击者可以利用此漏洞在 n8n 主机上执行任意 shell 命令，通过将“从磁盘读取/写入文件”节点与 git 操作结合使用。此漏洞影响 n8n 2.1.x 及 1.123.0 之前的版本。建议用户升级到 1.123.8 或 2.2.0 或更高版本以解决此问题。

影响与攻击场景

此漏洞允许经过身份验证且具有创建或修改工作流权限的用户，通过巧妙地利用“从磁盘读取/写入文件”节点和 git 操作，实现远程代码执行。攻击者可以首先通过写入特定的配置文件，然后触发 git 操作，从而在 n8n 主机上执行任意 shell 命令。这种攻击方式可能导致敏感数据泄露、系统被完全控制，甚至可能被用作进一步攻击其他系统的跳板。如果 n8n 运行在共享主机环境中，则潜在影响范围将更大，可能影响多个租户。由于 n8n 经常用于自动化任务，攻击者可能能够利用此漏洞破坏自动化流程，造成业务中断。

利用背景

目前，CVE-2026-27498 未列入 CISA KEV 目录。由于该漏洞允许远程代码执行，且需要经过身份验证，因此其 EPSS 评分可能为中等或较高。公开的 PoC 尚未发现，但由于漏洞的严重性，预计未来可能会出现。该漏洞于 2026 年 2 月 25 日公开。

哪些人处于风险中翻译中…

Organizations using n8n for workflow automation, particularly those handling sensitive data or integrating with critical systems, are at risk. Environments with overly permissive user roles or those lacking robust security monitoring are especially vulnerable. Shared hosting environments where multiple users share an n8n instance are also at increased risk.

检测步骤翻译中…

• nodejs / server: Monitor n8n logs for unusual file creation or modification patterns within the Read/Write Files from Disk node directory. Look for suspicious git commands being executed.

find /path/to/n8n/data/ -mmin -60 -type f -print0 | xargs -0 grep -i 'malicious_command'

• nodejs / server: Use ps or top to monitor processes running within the n8n container for unexpected command-line arguments or resource consumption.

ps aux | grep n8n

• generic web: Check n8n workflow configurations for suspicious file paths or commands that could be exploited. Review user permissions to ensure least privilege access.

攻击时间线

2026-02-25Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

报告3 份威胁报告

EPSS

0.44% (63% 百分位)

CISA SSVC

利用情况none

可自动化no

技术影响total

受影响的软件

组件n8n

供应商osv

影响范围修复版本

< 1.123.8 – < 1.123.81.123.9

>= 2.0.0, < 2.2.0 – >= 2.0.0, < 2.2.02.0.1

—1.123.8

弱点分类 (CWE)

CWE-94

时间线

已保留2026-02-19
发布日期2026-02-25
修改日期2026-02-28
EPSS 更新日期2026-03-23

缓解措施和替代方案

最有效的缓解措施是立即升级到 n8n 1.123.8 或 2.2.0 或更高版本。如果升级不可行，可以考虑以下临时缓解措施：限制用户对工作流的访问权限，特别是那些具有创建或修改工作流权限的用户。审查工作流配置，确保没有可疑的节点或操作。监控 n8n 日志，查找任何异常活动。如果可能，禁用或限制 git 集成。在升级后，请验证漏洞是否已成功修复，可以通过尝试触发受影响的操作，并确认是否不再执行任意 shell 命令。

修复方法

将 n8n 升级到版本 2.2.0 或更高版本，或版本 1.123.8 或更高版本。如果无法立即升级，请仅将工作流创建和编辑权限限制给受信任的用户，或通过将 `n8n-nodes-base.readWriteFile` 添加到环境变量 `NODES_EXCLUDE` 中禁用“从磁盘读取/写入文件”节点。请注意，这些规避方法不能完全缓解风险，并且只能用作短期缓解措施。

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2026-27498 — RCE in n8n 工作流自动化?