文章总结： n8n<1.121.0存在最高危RCE漏洞CVE-2026-21858，未认证攻击者通过FormWebhook节点Content-Type混淆实现任意文件读取，窃取SQLite与配置后伪造管理员Cookie，最终植入ExecuteCommand节点获完全控制权，可导致全部集成凭证泄露与横向移动，官方建议立即升级并给出WAF、禁用节点、IP白名单等临时缓解措施。 综合评分： 95 文章分类： 漏洞预警,WEB安全,远程代码执行,安全工具,应急响应

n8n远程代码执行高危漏洞-最高严重性漏洞

安融技术

安融技术

2026年1月10日 10:16 广东

n8n是一款开源的低代码工作流自动化工具，允许用户通过可视化界面连接不同服务（如 Slack、Google Sheets、API 等）构建自动化流程。其核心功能包括节点式工作流编排、表达式语言支持、自定义函数扩展等，广泛用于 DevOps、业务流程自动化和集成场景。n8n 可部署于本地服务器、云环境或 Docker 容器中，支持社区版与企业版。

n8n远程代码执行漏洞：编号CVE-2026-21858。是2026年1月披露的一个最高严重性漏洞，代号为 Ni8mare，影响广受欢迎的工作流自动化平台n8n。该漏洞CVSS评分高达 10.0，允许未认证攻击者完全接管受影响实例。

漏洞类型：内容类型混淆 → 任意文件读取 → 远程代码执行（RCE）

披露时间：2026年1月7日

影响范围：n8n自托管实例版本 < 1.121.0

技术原理

攻击路径：

该漏洞是一个两阶段利用链，通过内容类型混淆实现任意文件读取，进而提升为完全RCE：

第一阶段：任意文件读取

根源：Form Webhook节点未验证请求的 Content-Type 头是否确实为 multipart/form-data

正常流程：

multipart/form-data请求 → parseFormData() → 文件安全存储到临时目录 →req.body.files包含合法文件信息

攻击流程：

application/json请求 → parseBody() → 直接填充req.body → 攻击者手动构造req.body.files字段 → 欺骗文件处理函数

Payload示例：

当Form Webhook节点处理此请求时，会将 /etc/passwd 当作上传文件处理，并将其内容传递给下游节点。

第二阶段：提升至RCE

攻击者利用文件读取能力窃取关键数据：

1. 窃取SQLite数据库： ~/.n8n/n8n.sqlite （包含用户记录，包括密码哈希）

2. 窃取配置文件： ~/.n8n/config （包含会话签名密钥）

会话Cookie伪造： n8n使用 n8n-auth cookie进行认证，结构为：

并使用本地密钥签名。攻击者获得数据库和密钥后，可伪造管理员会话。

3. 执行命令：以管理员身份创建包含”Execute Command”节点的工作流，实现RCE。

潜在危害

完全系统接管：攻击者以n8n进程权限执行任意命令

敏感数据泄露：API密钥、OAuth令牌、数据库凭证

横向渗透：通过n8n中存储的凭证攻击其他系统

供应链攻击：篡改工作流注入恶意代码

影响范围巨大：n8n集中存储了所有集成凭证，一旦沦陷，等于”将攻击所有连接系统的钥匙交给了攻击者。

修复方案

1.立即升级（唯一完整解决方案）

2. 临时缓解措施（无法立即升级时）

A. 网络层防护

WAF规则：阻止包含 files 字段的非 multipart/form-data 请求

反向代理过滤：

B. 访问控制

禁用Form Webhook节点：如无必要，移除或禁用

IP白名单：仅允许可信IP访问webhook端点

认证前置：在反向代理层添加Basic Auth

C. 监控告警

检测异常文件访问模式：

自查与检测

检测是否受影响

入侵迹象（IoC）

异常文件读取操作（/etc/passwd , /proc/self/environ）。

n8n-auth cookie频繁更换。

新增的”Execute Command”节点或修改现有工作流。

异常出站连接（反向Shell）。

数据库中新增管理员账户。

漏洞利用特征

Webhook请求：Content-Type非multipart但包含 files 字段。

请求IP：来自扫描器或Tor出口节点。

响应内容：异常大的响应体（包含文件内容）。

相关漏洞对比

近期n8n连续披露多个严重漏洞，需注意区分：

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安融技术 安融技术《n8n远程代码执行高危漏洞-最高严重性漏洞》