2026 年 2 月,n8n 发布了两份安全公告,共披露 19 个漏洞——包括 6 个严重漏洞(CVSS 9.4+) 和 3 个独立的远端程式码执行攻击面。国家网路安全机构——新加坡的 CSA 和加拿大的 CCCS——已发布正式公告。
这不是修补问题。这是 n8n 多个子系统的结构性架构问题。
2 月 6 日:第一波——8 个 CVE
n8n 发布了第一份安全公告,披露了 8 个漏洞,其中包括:
- CVE-2026-25049(CVSS 9.4)— 表达式沙箱逃逸,允许透过精心构造的工作流程输入进行远端程式码执行
- CVE-2026-25050(CVSS 8.8)— 在某些节点类型中的 SSRF
- 多个中等严重程度的 XSS 和权限提升漏洞
CVE-2026-25049 尤其令人担忧,因为它绕过了 n8n 在 2025 年 12 月修复的早期表达式注入漏洞。这意味着 n8n 的表达式沙箱存在根本性的架构缺陷,而不仅仅是个别的程式码错误。
2 月 25 日:11 个更多 CVE——3 个严重
仅仅 19 天后,n8n 发布了第二份公告,又披露了 11 个漏洞:
| CVE | CVSS | 描述 |
|---|---|---|
| CVE-2026-27497 | 9.4 | SQL 查询模式 RCE — 直接 SQL 注入到远端程式码执行 |
| CVE-2026-27495 | 9.4 | JS 任务运行器沙箱突破 — 第三个独立的 RCE 向量 |
| CVE-2026-27577 | 9.4 | 表达式沙箱逃逸(绕过 CVE-2026-25049 修复) |
| CVE-2026-27578 | 8.8 | SSO 认证绕过 |
现在有三个完全独立的远端程式码执行攻击面:
- 表达式求值 — JavaScript 沙箱逃逸
- SQL 查询模式 — SQL 注入到 RCE
- JavaScript 任务运行器 — 沙箱突破
国家网路安全机构回应
新加坡网路安全局(CSA)和加拿大网路安全中心(CCCS)已发布正式公告,建议组织立即更新或评估替代方案。
当政府机构对您的自动化平台发出警告时,这是一个明确的信号。
为什么修补是不够的
一个月内出现三个独立的 RCE 向量表明系统性的架构问题:
- 表达式求值器设计上就是不安全的——沙箱不断被绕过
- SQL 查询模式将用户输入直接路由到资料库引擎
- 任务运行器沙箱使用的是已知有逃逸路径的 Node.js
vm模组
CVE-2026-27577 绕过了 CVE-2026-25049 的修复——这是在19 天内两次绕过同一个安全边界。
迁移路径
JieGou 的 n8n 汇入精灵可以在几分钟内迁移您的工作流程:
- 汇出 — 从 n8n 汇出您的工作流程 JSON
- 汇入 — 上传到 JieGou 的 n8n 汇入精灵
- 审查 — 查看 47+ 节点类型的自动映射
- 部署 — 使用内建的治理控制一键部署
| 维度 | JieGou | n8n |
|---|---|---|
| 2026 年 2 月 CVE | 0 | 19(6 个严重) |
| RCE 攻击面 | 0 | 3 个独立向量 |
| 表达式引擎 | 结构化模板(无 eval) | JavaScript eval 沙箱(反复被绕过) |
| SOC 2 | 技术补救完成 | 无 SOC 2 认证 |
| 政府公告 | 无 | 新加坡 CSA + 加拿大 CCCS |