开源工作流自动化平台 n8n 近日披露一枚编号为 CVE-2026-21877 的严重远程代码执行漏洞,CVSS 评分为满分 10.0,被评为最高等级风险。 在特定条件下,已认证用户可通过任意文件写入触发服务执行不受信任代码,从而完全接管受影响实例,导致数据泄露、配置篡改乃至横向移动攻击。
此次漏洞同时影响自建部署与 n8n Cloud,受影响版本范围为 ≥0.123.0 且 <1.121.3。 官方已在 1.121.3 版本中修复该问题,并强烈建议用户尽快升级到该版本或更高版本,以彻底消除风险。 若暂无法停机更新,建议管理员临时禁用 Git 节点,并限制仅信任用户访问 n8n 服务,以降低被利用的可能性。 网络安全团队应重点排查相关资产暴露情况,并持续监控异常执行行为。
