HackerNews

HackerNews 编译，转载请注明出处：

流行的开源工作流自动化平台n8n曝出多个关键安全漏洞，攻击者利用这些漏洞可突破沙箱限制，最终完全控制其所在的宿主服务器。

这些漏洞被统一追踪为CVE-2026-25049。任何能在该平台上创建或编辑工作流的认证用户，均可利用其在n8n服务器上执行不受限制的远程代码。

多家网络安全公司的研究人员报告了这些问题。漏洞根源在于n8l的输入净化机制存在缺陷，并成功绕过了此前针对另一个关键漏洞CVE-2025-68613（已于去年12月20日修复）所发布的补丁。

据Pillar Security介绍，利用CVE-2026-25049可完全攻陷n8n实例，进而在服务器上执行任意系统命令、窃取所有存储的凭据与密钥（如API密钥、OAuth令牌）以及敏感配置文件。

研究人员演示称，利用该漏洞还能访问文件系统与内部服务，横向渗透至相关联的云账户，甚至劫持AI工作流（例如拦截提示词、篡改响应内容、重定向流量）。由于n8n是多租户环境，攻击者一旦触及内部集群服务，便可能进一步窃取其他租户的数据。

“此攻击门槛极低。只要能创建工作流，就能掌控整个服务器。”Pillar Security在今日发布的报告中如是说。

报告将漏洞根源归结为基于抽象语法树（AST）的沙箱机制不完善，具体而言，是n8n对工作流中用户编写的服务器端JavaScript表达式沙箱隔离不足。2025年12月21日，研究人员向n8n团队演示了一种链式绕过方法，可成功逃逸沙箱并访问Node.js全局对象，从而实现远程代码执行（RCE）。

尽管n8n团队在两天后发布了修复补丁，但Pillar经分析发现修复并不彻底，攻击者仍可通过另一套使用等效操作的机制实现二次绕过。n8n开发者在12月30日确认了该绕过问题，最终于2026年1月12日发布了彻底修复漏洞的2.4.0版本。

Endor Labs的研究人员同样发现了净化绕过方法，并提供了一个简单的概念验证（PoC）利用代码来演示CVE-2026-25049如何导致远程代码执行。Endor Labs的Cristian Staicu指出：“在2.5.2和1.123.17之前的所有版本中，净化函数默认攻击者可控代码中的属性访问键为字符串。”然而，这项检查仅体现在TypeScript类型定义中，并未在运行时强制执行，从而引发了类型混淆漏洞，最终导致“净化控制被完全绕过，使得任意代码执行攻击成为可能。”

与此同时，SecureLayer7的研究人员今日发布了技术报告，详细说明了他们如何通过“使用Function构造函数”实现“服务器端JavaScript执行”。他们是在分析CVE-2025-68613及其补丁时发现了CVE-2026-25049，并经过超过150次尝试才最终完善了成功的绕过方法。该报告同样提供了PoC利用代码，以及从初始设置到创建恶意工作流以完全控制服务器的详细步骤。

修复与缓解建议
n8n用户应立即将平台升级至最新版本（当前为1.123.17和2.5.2）。Pillar Security还建议轮换N8N_ENCRYPTION_KEY及服务器上存储的所有凭据，并审查现有工作流中是否存在可疑表达式。

若无法立即升级，n8n团队提供了临时缓解方案，但该方案无法彻底消除风险：