严重的 n8n 漏洞可以让经过身份验证的攻击者从工作流编辑权限转移到主机服务器上的远程代码执行权限。GitHub 针对 n8n 的建议表示该错误会影响合并节点的“Combine by SQL”模式,其中AlaSQL 沙箱没有正确限制某些SQL语句。
影响是严重的,因为攻击者不需要整个平台的管理员访问权限。根据该通报,任何可以创建或修改工作流程的经过身份验证的用户都可以读取 n8n 主机上的本地文件,然后实现远程代码执行。 GitHub 将问题评为“严重”,CVSS v4 得分为 9.4。
该错误被追踪为 CVE-2026-33660。GitHub 的公告称用户应立即升级到已修补的版本,因为当前的解决方法只能减少风险,并不能完全消除风险。
当工作流使用“通过 SQL 合并”时,弱点在于合并节点。GitHub 说 AlaSQL沙箱没有充分限制某些SQL语句,这为恶意输入突破预期的安全边界开辟了道路。
一旦进入该路径,具有工作流程编辑权限的攻击者就可以从 n8n 主机读取本地文件。该通报称,文件访问可能会被用来危害实例并实现远程代码执行。
这不是未经验证的互联网范围内的错误。攻击者必须首先拥有有权创建或修改工作流程的帐户。即便如此,GitHub 仍将该问题评为可网络利用、复杂性低、无需用户交互且所需权限低,这就是整体严重性处于“严重”范围的原因。
漏洞快照
| 物品 | 细节 |
|---|---|
| 产品 | n8n |
| CVE | CVE-2026-33660 |
| 严重性 | 批判的 |
| CVSS v4 | 9.4 |
| 所需的访问权限 | 具有工作流程创建/修改权限的经过身份验证的用户 |
| 易受攻击的功能 | 合并节点,“通过SQL合并”模式 |
| 主要风险 | 本地文件读取导致远程代码执行 |
受影响和已修复的 n8n 版本
GitHub 的 n8n 公告称该问题影响 2.14.1 以下、2.13.3 以下和 1.123.27 以下的版本。已修补的版本为2.14.1、2.13.3和1.123.27。
GitHub Advisory Database 条目给出了更明确的范围细分:版本 2.14.0 受到影响,从 2.0.0-rc.0 到但不包括 2.13.3 的版本受到影响,1.123.27 以下的版本受到影响。这意味着较旧的稳定分支和较新的版本都属于易受攻击的窗口。
管理员不应该在这里等待维护周期。该通报明确指出,升级到固定版本之一或更高版本是正确的补救途径。
团队现在应该做什么
最快、最安全的修复是将 n8n 更新到 2.14.1、2.13.3 或 1.123.27,具体取决于您的分支。GitHub 的公告称这些版本解决了这个问题。
如果您无法立即修补,n8n 建议仅将工作流创建和编辑权限限制为完全信任的用户。这一步很重要,因为漏洞利用首先需要这些特权。
作为第二个临时步骤,管理员可以通过添加来禁用合并节点n8n-nodes-base.merge到NODES_EXCLUDE环境变量。 GitHub 警告称,这些措施并不能完全解决问题,只能作为短期缓解措施。
即时清单
- 将 n8n 升级到 2.14.1、2.13.3 或 1.123.27
- 审核谁可以创建或修改工作流程
- 如果修补必须等待,请暂时禁用合并节点
- 查看最近使用“通过 SQL 合并”的工作流程
- 如果不受信任的用户具有工作流程编辑访问权限,则将暴露的主机视为更高的风险
FAQ
什么是 CVE-2026-33660?
这是合并节点“Combine by SQL”模式中的一个严重的 n8n 漏洞。 GitHub 表示,它可以让经过身份验证的工作流编辑器读取本地文件并在主机上实现远程代码执行。
n8n bug 需要身份验证吗?
是的。攻击者必须持有经过身份验证的帐户,并有权创建或修改工作流程。
哪些 n8n 版本解决了该问题?
该通报中列出的修补版本为 2.14.1、2.13.3 和 1.123.27。
如果我今天无法修补,有解决方法吗?
是的,但这只是暂时的。 n8n 建议将工作流程编辑限制为受信任的用户,并禁用合并节点NODES_EXCLUDE。 GitHub 表示,这些步骤并不能完全消除风险。
