文章总结： 安全研究人员披露了n8n中的两个严重远程代码执行（RCE）漏洞，CVE-2026-33660和CVE-2026-33663，CVSS评分均为9.4。攻击者可利用这些漏洞入侵底层主机服务器。漏洞分别存在于Merge节点的SQL合并模式和GSuiteAdmin节点的参数中。建议立即将n8n实例更新至2.14.1、2.13.3或1.123.27版本。若无法立即升级，可通过限制权限或禁用易受攻击的节点来降低风险。 综合评分： 85 文章分类： 漏洞预警,WEB安全,应用安全,安全运营,解决方案

n8n 两个严重 RCE 漏洞利用使工作流沦为后门

Ddos Ddos

代码卫士

2026年3月30日 18:12 北京

  聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

安全研究人员披露了 n8n 中的两个严重漏洞CVE-2026-33660和CVE-2026-33663（CVSS评分均为9.4）。n8n 是一款免费开源的工作流自动化工具，用于弥合低代码速度与全代码灵活性之间的差距。这两个漏洞可带来严重的远程代码执行风险，导致攻击者入侵底层主机服务器。

这些漏洞凸显了依赖 n8n 处理敏感数据和关键任务自动化的组织所面临的重大风险。第一个严重漏洞CVE-2026-33660，涉及 Merge 节点。Merge 节点是用于合并来自不同数据源的数据的核心组件。当设置为“按 SQL 合并”模式时，该节点会使用 AlaSQL 库。研究人员发现，AlaSQL 沙箱未能充分限制某些 SQL 语句。拥有创建工作流权限且通过身份验证的用户可以利用此漏洞直接从 n8n 主机服务器读取本地文件，或实现完整的远程代码执行，或导致实例完全被接管。

第二个漏洞是位于 GSuiteAdmin 节点参数中常见但影响巨大的原型污染漏洞CVE-2026-33663。通过在节点配置期间提供特殊构造的参数，攻击者可以将未经授权的值写入 Object.prototype。在像 n8n 这样的 Node.js 环境中，操纵全局对象原型可直接导致攻击者：

• 在服务器上执行任意代码。
• 通过将攻击者控制的属性注入应用程序逻辑来绕过安全控制。

n8n 开发团队已为多个发布分支发布了这两个漏洞的补丁。建议管理员立即将其实例更新至以下版本之一：

• 2.14.1
• 2.13.3
• 1.123.27

如果无法立即升级，以下短期措施可以降低但无法完全消除该风险：

• 限制权限：将工作流的创建和编辑权限严格限制在完全受信任的用户范围内。

• 禁用易受攻击的节点：使用 NODES_EXCLUDE 环境变量禁用受影响的节点，可通过如下措施实现：

  Ø添加 n8n-nodes-base.merge 以阻止 SQL 漏洞利用。

  Ø添加 n8n-nodes-base.xml 作为相关风险的缓解措施。

开源卫士试用地址：https://oss.qianxin.com/#/login

代码卫士试用地址：https://sast.qianxin.com/#/login

推荐阅读

n8n 严重漏洞可导致RCE和存储凭据暴露

n8n出现新漏洞，可用于执行系统命令

n8n 两个高危漏洞可导致认证RCE

n8n 满分漏洞 Ni8mare 可导致服务器遭劫持

原文链接

Critical 9.4 CVSS RCE Flaws in n8n Turn Workflows into Backdoors

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 “赞” 吧~

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：代码卫士 Ddos Ddos《n8n 两个严重 RCE 漏洞利用使工作流沦为后门》