2026 年 2 月,n8n 發布了兩份安全公告,共披露 19 個漏洞——包括 6 個嚴重漏洞(CVSS 9.4+) 和 3 個獨立的遠端程式碼執行攻擊面。國家網路安全機構——新加坡的 CSA 和加拿大的 CCCS——已發布正式公告。
這不是修補問題。這是 n8n 多個子系統的結構性架構問題。
2 月 6 日:第一波——8 個 CVE
n8n 發布了第一份安全公告,披露了 8 個漏洞,其中包括:
- CVE-2026-25049(CVSS 9.4)— 表達式沙箱逃逸,允許透過精心構造的工作流程輸入進行遠端程式碼執行
- CVE-2026-25050(CVSS 8.8)— 在某些節點類型中的 SSRF
- 多個中等嚴重程度的 XSS 和權限提升漏洞
CVE-2026-25049 尤其令人擔憂,因為它繞過了 n8n 在 2025 年 12 月修復的早期表達式注入漏洞。這意味著 n8n 的表達式沙箱存在根本性的架構缺陷,而不僅僅是個別的程式碼錯誤。
2 月 25 日:11 個更多 CVE——3 個嚴重
僅僅 19 天後,n8n 發布了第二份公告,又披露了 11 個漏洞:
| CVE | CVSS | 描述 |
|---|---|---|
| CVE-2026-27497 | 9.4 | SQL 查詢模式 RCE — 直接 SQL 注入到遠端程式碼執行 |
| CVE-2026-27495 | 9.4 | JS 任務運行器沙箱突破 — 第三個獨立的 RCE 向量 |
| CVE-2026-27577 | 9.4 | 表達式沙箱逃逸(繞過 CVE-2026-25049 修復) |
| CVE-2026-27578 | 8.8 | SSO 認證繞過 |
現在有三個完全獨立的遠端程式碼執行攻擊面:
- 表達式求值 — JavaScript 沙箱逃逸
- SQL 查詢模式 — SQL 注入到 RCE
- JavaScript 任務運行器 — 沙箱突破
國家網路安全機構回應
新加坡網路安全局(CSA)和加拿大網路安全中心(CCCS)已發布正式公告,建議組織立即更新或評估替代方案。
當政府機構對您的自動化平台發出警告時,這是一個明確的信號。
為什麼修補是不夠的
一個月內出現三個獨立的 RCE 向量表明系統性的架構問題:
- 表達式求值器設計上就是不安全的——沙箱不斷被繞過
- SQL 查詢模式將用戶輸入直接路由到資料庫引擎
- 任務運行器沙箱使用的是已知有逃逸路徑的 Node.js
vm模組
CVE-2026-27577 繞過了 CVE-2026-25049 的修復——這是在19 天內兩次繞過同一個安全邊界。
遷移路徑
JieGou 的 n8n 匯入精靈可以在幾分鐘內遷移您的工作流程:
- 匯出 — 從 n8n 匯出您的工作流程 JSON
- 匯入 — 上傳到 JieGou 的 n8n 匯入精靈
- 審查 — 查看 47+ 節點類型的自動映射
- 部署 — 使用內建的治理控制一鍵部署
| 維度 | JieGou | n8n |
|---|---|---|
| 2026 年 2 月 CVE | 0 | 19(6 個嚴重) |
| RCE 攻擊面 | 0 | 3 個獨立向量 |
| 表達式引擎 | 結構化模板(無 eval) | JavaScript eval 沙箱(反覆被繞過) |
| SOC 2 | 技術補救完成 | 無 SOC 2 認證 |
| 政府公告 | 無 | 新加坡 CSA + 加拿大 CCCS |