平台
nodejs
组件
n8n
修复版本
1.123.28
2.0.1
2.14.1
2.14.1
CVE-2026-33660是一个远程代码执行(RCE)漏洞,影响到n8n工作流自动化平台。该漏洞允许经过身份验证的用户,如果拥有创建或修改工作流的权限,通过Merge节点的“通过SQL合并”模式读取n8n主机上的本地文件,并最终实现远程代码执行。受影响的版本包括n8n 2.14.0及更早版本,建议用户尽快升级到2.14.1、2.13.3或1.123.27版本以修复此漏洞。
该漏洞的潜在影响非常严重。攻击者可以利用AlaSQL沙箱的限制不足,通过构造恶意的SQL语句,读取服务器上的敏感文件,例如配置文件、数据库凭证、API密钥等。更进一步,攻击者甚至可以利用这些信息完全控制n8n实例,执行任意代码,窃取数据,或者将服务器作为跳板攻击内部网络。由于n8n通常用于自动化各种业务流程,因此该漏洞可能导致敏感数据的泄露、业务中断以及更广泛的网络安全风险。该漏洞的利用方式类似于SQL注入攻击,但由于其利用了工作流节点的特性,使得攻击面更加隐蔽。
目前尚未观察到大规模的CVE-2026-33660漏洞利用活动。该漏洞已添加到CISA KEV目录,表明其具有较高的安全风险。公开的PoC代码已出现,这增加了漏洞被利用的可能性。建议密切关注安全社区的动态,及时采取必要的安全措施。
Organizations heavily reliant on n8n for workflow automation, particularly those with complex workflows involving data merging and SQL operations, are at significant risk. Shared hosting environments where multiple users have access to n8n instances are also vulnerable, as a compromised user could potentially exploit this vulnerability to impact other users on the same server.
• nodejs / server:
ps aux | grep n8n• nodejs / server:
journalctl -u n8n -f | grep "AlaSQL sandbox"• generic web:
curl -I http://your-n8n-instance/ | grep Serverdisclosure
漏洞利用状态
EPSS
0.07% (22% 百分位)
CISA SSVC
最有效的缓解措施是立即升级到已修复的版本:2.14.1、2.13.3或1.123.27。如果由于兼容性或其他原因无法立即升级,可以考虑以下临时缓解措施:首先,限制用户对工作流的访问权限,只授予必要的权限,避免赋予用户创建或修改工作流的权限。其次,禁用Merge节点的“通过SQL合并”模式,或者对该模式的使用进行严格的审计和监控。此外,可以考虑使用Web应用防火墙(WAF)来检测和阻止恶意的SQL注入攻击。最后,定期审查n8n的配置,确保其安全性。
将 n8n 升级到版本 2.14.1、2.13.3 或 1.123.26,或更高版本。如果无法立即升级,请仅将工作流创建和编辑权限限制给受信任的用户,或通过将 `n8n-nodes-base.merge` 添加到 `NODES_EXCLUDE` 环境变量中来禁用 Merge 节点。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-33660是一个远程代码执行漏洞,影响到n8n工作流自动化平台,允许攻击者通过Merge节点的SQL合并功能读取本地文件并执行代码。
如果您的n8n版本小于等于2.14.0,则可能受到此漏洞的影响。请立即检查您的版本并升级。
升级到n8n版本2.14.1、2.13.3或1.123.27。如果无法升级,请限制用户权限并禁用SQL合并功能。
目前尚未观察到大规模利用,但公开的PoC代码已出现,存在被利用的风险。
请访问n8n官方安全公告页面,查找关于CVE-2026-33660的详细信息:[https://status.n8n.io/](https://status.n8n.io/)
CVSS 向量