文章总结： CVE-2026-21877是n8n工作流平台Git节点因文件类型与路径校验缺失导致的认证远程代码执行漏洞，普通编辑权限用户即可在工作流中写入并执行任意文件，影响0.123.0–1.121.2版本，官方已在1.121.3修复，建议立即升级并限制多用户实例权限以降低风险。 综合评分： 92 文章分类： 漏洞预警,WEB安全,应用安全,安全建设,应急响应

CVE-2026-21877：n8n 存在认证远程代码执行漏洞

原创

mayfly

独眼情报

2026年1月8日 16:11 湖北

漏洞概述

CVE-2026-21877 是开源工作流自动化平台 n8n 中的一个严重安全漏洞，于2026年1月 初公开披露。该漏洞被评为危急，属于认证远程代码执行类型。

n8n 是一个广受欢迎的“fair-code”工作流自动化工具，类似于 Zapier 或 Node-RED，支持低代码与自定义代码结合，常用于自动化任务、集成 API 和处理敏感数据。该漏洞允许已认证的用户在特定条件下执行任意代码，导致攻击者完全控制 n8n 实例，包括自托管和 n8n Cloud 部署。

漏洞对应 GitHub 安全通告 GHSA-v364-rw7m-3263，分类为 CWE-434（不受限制上传危险类型文件）。

技术细节

根据官方通告和安全研究报告，该漏洞根源在于 n8n 的 Git Node（Git 节点）存在任意文件写入问题。

Git Node 用于工作流中与 Git 仓库交互（如克隆、提交、拉取等）。漏洞在于该节点对用户输入的文件处理缺乏足够限制，允许认证用户上传或转移“危险类型”文件，这些文件会被 n8n 服务自动处理。

具体机制：

• 认证用户在构建工作流时，可以通过 Git Node 操作文件。
• 由于未严格验证文件类型和路径，攻击者可实现任意文件写入。
• 写入的文件可能被 n8n 后端解释执行（如写入可加载的恶意模块、配置文件或直接可执行脚本）。
• 一旦写入成功，不受信任的代码将在 n8n 服务进程中执行，导致 RCE。

此漏洞不需要特权提升，仅需普通认证用户权限（例如具有工作流编辑权限的用户）。攻击链相对简单：创建/编辑包含恶意 Git Node 的工作流 → 触发文件写入 → 执行任意代码。

值得注意的是，该漏洞不涉及未认证访问，但在多用户环境中（如团队共享 n8n 实例），低权限用户即可利用，风险极高。

受影响版本与修复

• 受影响版本：n8n ≥ 0.123.0 且 < 1.121.3（包括大量近期版本）。
• 已修复版本：1.121.3 及更高版本。
• 修复方式：官方在 1.121.3 中加强了 Git Node 的文件处理逻辑，限制了危险文件类型上传和任意路径写入。

用户应立即升级到最新版本。n8n 项目近年来已修复多个类似高危 RCE（如 CVE-2025-68613、CVE-2025-68668）。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：独眼情报 mayfly《CVE-2026-21877：n8n 存在认证远程代码执行漏洞》