n8n工作流表达式评估漏洞导致远程代码执行风险

📅 发布时间:2026/7/17 20:23:38 👁️ 浏览次数:
n8n工作流表达式评估漏洞导致远程代码执行风险
漏洞概述n8n包含一个严重的安全漏洞存在于其工作流表达式评估系统中。在工作流配置过程中由已认证用户提供的表达式可能在一个与底层运行时环境隔离不足的上下文中执行。影响范围受影响的版本包括1.x版本系列低于1.123.17的所有版本2.x版本系列2.0.0至2.4.5之间的版本2.5.0至2.5.1之间的版本安全修复版本官方已在以下版本中修复该漏洞1.123.172.4.52.5.1漏洞详情已认证的攻击者可以利用这一漏洞在n8n进程的权限上下文中执行任意代码。成功利用此漏洞可能导致以下严重后果受影响的实例完全被控制未经授权访问敏感数据工作流被恶意修改执行系统级操作技术分析该漏洞的根源在于表达式评估过程中缺乏适当的安全隔离。CWE分类将其归类为CWE-95动态代码评估中的指令未正确中和即Eval注入漏洞。CVSS评分根据CVSS v3.1评分标准该漏洞获得了10.0分的严重等级攻击向量网络攻击复杂度低权限要求低用户交互不需要影响范围已改变机密性影响高完整性影响高可用性影响高参考链接https://nvd.nist.gov/vuln/detail/CVE-2026-1470n8n-io/n8naa4d1e5https://research.jfrog.com/vulnerabilities/n8n-expression-node-rcen8n-io/n8n25c4b96n8n-io/n8n30383d8FINISHEDglyoVzOLZA9nMhz/bDHDAWzfRfZ0dSZtQUalpUyOmxff3Wfdb6/rtP9wqP/3NDWVd9CCe3WR2zD5PH0g/Wc7w更多精彩内容 请关注我的个人公众号 公众号办公AI智能小助手对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号网络安全技术点滴分享