平台
nodejs
组件
n8n
修复版本
1.123.27
2.0.1
2.14.1
1.123.26
CVE-2026-33713 描述了 n8n 中的一个 SQL 注入漏洞,该漏洞允许攻击者通过构造恶意 SQL 查询来执行未经授权的数据库操作。具有创建或修改工作流权限的已认证用户可以利用此漏洞。受影响版本未知。该漏洞已在 1.123.26, 2.13.3, 和 2.14.1 版本中得到修复,建议用户尽快升级。
n8n (CVE-2026-33713) 的 'Data Table Get' 节点存在 SQL 注入漏洞。 具有创建或修改工作流权限的经过身份验证的用户可能会利用此漏洞。 在默认的 SQLite 数据库中,语句操作实际上受到限制。 但是,在 PostgreSQL 部署中,可以执行多语句,从而启用数据修改和删除。 这对 PostgreSQL 环境中的数据完整性构成重大风险。
该漏洞通过 n8n 工作流中的 'Data Table Get' 节点进行利用。 经过身份验证的攻击者可能会操纵此节点使用的 SQL 查询以插入恶意代码。 影响取决于数据库类型。 在 SQLite 中,影响有限,但在 PostgreSQL 中,攻击者可以在数据库上执行任意命令,从而危及数据的机密性、完整性和可用性。
Organizations utilizing n8n for workflow automation, particularly those running PostgreSQL databases, are at risk. This includes businesses relying on n8n for data integration, process automation, and API management. Environments with less stringent user permission controls are also at higher risk, as the vulnerability requires only authenticated user access to create or modify workflows.
• nodejs / server:
grep -r "Data Table Get node" /opt/n8n/resources/app/nodes/• linux / server:
journalctl -u n8n -f | grep "SQL injection"• database (postgresql):
SELECT query FROM audit_log WHERE query LIKE '%DROP TABLE%';disclosure
漏洞利用状态
EPSS
0.02% (4% 百分位)
CISA SSVC
为了减轻此风险,强烈建议升级到包含修复程序的 n8n 版本。 版本 1.123.26、2.13.3 和 2.14.1 包含对此漏洞的修复。 如果无法立即升级,请审查并限制用户权限,以限制他们创建或修改工作流的能力。 监控数据库活动也可以帮助检测潜在的利用尝试。
将 n8n 更新到 1.123.26、2.13.3、2.14.1 或更高版本。 如果无法立即更新,请将工作流程创建和编辑权限限制为受信任用户,通过将 `n8n-nodes-base.dataTable` 添加到环境变量 `NODES_EXCLUDE` 来禁用 Data Table 节点,和/或检查现有工作流程中 `orderByColumn` 设置为包含外部或用户提供输入的表达式的 Data Table Get 节点。
漏洞分析和关键警报直接发送到您的邮箱。
SQL 注入是一种安全攻击,允许攻击者干扰发送到数据库的查询。 它们可用于访问敏感信息、修改数据或在服务器上执行命令。
CVE 代表 'Common Vulnerabilities and Exposures'(通用漏洞和披露)。 它是已知安全漏洞的唯一标识符。 CVE-2026-33713 是 n8n 中此漏洞的特定标识符。
如果无法立即升级,请限制用户权限并监控数据库活动。
此漏洞仅影响使用 'Data Table Get' 节点和 PostgreSQL 数据库的安装。 使用 SQLite 的安装影响有限。
请参阅 n8n 发布说明以获取详细信息以及官方的 n8n 文档。
CVSS 向量