更新時間:2026/01/13 17:20:34
發佈時間:2026/01/13 17:20:34
TLP:
(White)
得對外公開散布,但不得違反著作權法等相關規定
更新說明:
一、漏洞說明[1][2]
n8n近期發布多項安全公告,說明其工作流程自動化平台存在以下重大資安漏洞:
1. CVE-2026-21858為一項內容類型混淆(Content-Type Confusion)漏洞。n8n於Webhook與表單請求處理流程中,因parseRequestBody()函數於解析Content-Type標頭後,未對後續檔案處理邏輯進行嚴格驗證,使未經身分驗證的遠端攻擊者可透過特製HTTP請求讀取主機任意檔案,藉此偽造管理員Session繞過身分驗證,並於特定條件下達成遠端程式碼執行(RCE)。
2. CVE-2025-68613為一項表達式注入(Expression Injection)漏洞。n8n於工作流程JavaScript表達式評估過程中,因執行環境隔離機制不足,使具備工作流程建立或修改權限的攻擊者,可透過特製表達式,突破原有執行限制,於n8n服務中執行任意程式碼。
二、已揭露攻擊活動說明
1. Cyera提供CVE-2026-21858完整攻擊鏈行為說明。
2. GitHub已有CVE-2025-68613的PoC程式碼。[3]
▶ 漏洞資訊
⌵
名稱:
CVE-2026-21858、CVE-2025-68613
描述:
使用版本:CVSS 3.1
分析分數:10、9.9
參考來源: NVD [4][5]
▶ 影響平台
⌵
影響平台-系統:
1. CVE-2026-21858:影響n8n 1.65.0以上且低於1.121.0版本,修補於1.121.0或以上版本。
2. CVE-2025-68613:影響n8n 0.211.0至1.120.3版本,修補於1.122.0或以上版本。
▶ 建議措施
⌵
1. 官方已發布修補程式,建議會員依據單位內漏洞管理機制進行相關作業。
▶ 參考資訊
⌵
| 編號 | 網址 | 說明 |
|---|---|---|
| 1 | https://www.cyera.com/research-labs/ni8mare-unauthenticated-remote-code-execution-in-n8n-cve-2026-21858 | CYERA |
| 2 | https://thehackernews.com/2026/01/critical-n8n-vulnerability-cvss-100.html | The Hacker News |
| 3 | https://github.com/TheStingR/CVE-2025-68613-POC | GitHub |
| 4 | https://nvd.nist.gov/vuln/detail/CVE-2026-21858 | NVD(CVE-2026-21858) |
| 5 | https://nvd.nist.gov/vuln/detail/CVE-2025-68613 | NVD(CVE-2025-68613) |
情資編號:
FISAC-200-202601-0001
系統目錄:
資安漏洞
資安類別:
漏洞公告 /
影響等級:
3
關鍵字:
弱點漏洞