2026 年 2 月對 n8n 的安全故事來說是災難性的。它從 2 月 6 日的 8 個 CVE 開始。然後是 2 月 25 日的另外 11 個。現在,Ni8mare (CVE-2026-21858) ——一個 CVSS 10.0 的未認證遠端程式碼執行漏洞——使總數達到 20+ 個 CVE、7 個嚴重等級,以及一個月內 4 個獨立的 RCE 向量。
這不再是修補問題。這是架構問題。
回顧:二月的安全崩潰
2 月 6 日——第一波(8 個 CVE)
n8n 2 月 6 日的公告揭露了 8 個漏洞,包括 CVE-2026-25049(CVSS 9.4)——繞過了 2025 年 12 月針對原始表達式注入 RCE 的補丁。這個繞過證明了表達式評估引擎存在根本性的設計缺陷,而非一次性的錯誤。
2 月 25 日——三個新的 RCE 向量(11 個 CVE)
三週後,n8n 發布了 11 個額外的漏洞,包括 3 個跨完全獨立子系統的嚴重等級問題:
| CVE | 嚴重性 | 攻擊面 |
|---|---|---|
| CVE-2026-27497 | 嚴重 (9.4) | SQL 查詢模式——任意程式碼執行 |
| CVE-2026-27577 | 嚴重 (9.4) | 表達式沙箱逃逸——系統命令 |
| CVE-2026-27495 | 嚴重 (9.4) | JavaScript 任務執行器沙箱突破 |
其他問題包括儲存型 XSS、SSO 繞過、未認證表單評估、跨 MySQL/PostgreSQL/MSSQL 的 SQL 注入以及 webhook 偽造。
Ni8mare:迄今最嚴重的一個
CVE-2026-21858 — CVSS 10.0 — 未認證遠端程式碼執行
Ni8mare 利用 n8n webhook 處理中的 Content-Type 混淆來實現完整伺服器接管。它與其他三個 RCE 向量有本質上的不同:
- 無需任何憑證。 之前的 RCE 向量(表達式、SQL、任務執行器)都需要某種程度的認證存取。Ni8mare 什麼都不需要——任何暴露的 webhook 端點都是攻擊面。
- 完整伺服器接管。 不限於沙箱逃逸或查詢注入。是對底層伺服器的完整遠端程式碼執行。
- 約 100,000 個實例暴露。 這不是之前 Censys 掃描的 26,512 個數字——Ni8mare 的攻擊面包括任何具有 webhook 端點的 n8n 實例,大幅擴大了暴露範圍。
- 第 4 個獨立攻擊面。 表達式評估、SQL 查詢模式、JavaScript 任務執行器,現在是 webhook Content-Type 混淆。四個完全獨立的子系統,四條完全獨立的 RCE 路徑。
為什麼 Content-Type 混淆如此危險
Webhook 端點就其定義而言是面向網際網路的。它們被設計用來接收外部請求。當解析這些請求的機制——Content-Type 處理器——可以被混淆為執行任意程式碼時,整個「webhook」概念就變成了遠端程式碼執行的入口點。
每個以 webhook 觸發器開始的 n8n 工作流程都是潛在的 Ni8mare 目標。無需認證。無需利用鏈。只需一個格式錯誤的請求。
4 個獨立 RCE 向量 = 破壞的架構
在產品中發現一個 RCE 是嚴重的安全事件。發現兩個是一個模式。在一個月內發現三個令人警覺。
在一個月內發現四個獨立的 RCE 向量——橫跨四個獨立的子系統——確認了安全架構根本性的破壞。
| RCE 向量 | 子系統 | CVE | 需要認證 |
|---|---|---|---|
| 表達式沙箱逃逸 | 表達式評估引擎 | CVE-2026-27577 | 是 |
| SQL 查詢模式 RCE | SQL 執行引擎 | CVE-2026-27497 | 是 |
| JS 任務執行器突破 | JavaScript 沙箱 | CVE-2026-27495 | 是 |
| Webhook Content-Type 混淆 | Webhook 處理 | CVE-2026-21858 | 否 |
每一個都代表不同的攻擊面。修補一個並不能保護免受其他的攻擊。攻擊者只需要找到一個——而有了 Ni8mare,他們甚至不需要憑證。
國家機構警告
n8n 二月份揭露的嚴重性促使國家網路安全機構發布正式警告:
- 新加坡 CSA(新加坡網路安全局)——針對 n8n 漏洞發布警告
- 加拿大 CCCS(加拿大網路安全中心)——針對 n8n 漏洞發布警告
這些是對關鍵基礎設施漏洞發布警告的同一批機構。當國家政府都在警告組織注意您的自動化平台時,緊迫性已經超越了例行修補。
為什麼光修補是不夠的
二月份的模式講述了一個確定性的故事:
- 2 月 6 日:8 個 CVE——包括繞過 2025 年 12 月補丁的漏洞
- 2 月 25 日:又 11 個 CVE——3 個跨獨立子系統的嚴重漏洞
- Ni8mare:CVSS 10.0——透過 webhook 的未認證 RCE,第 4 個獨立向量
即使您今天修補到最新版本:
- 2025 年 12 月的補丁在二月被繞過。 補丁 → 繞過 → 補丁不是可持續的安全策略。
- 四個獨立子系統有獨立的 RCE 漏洞。 這表明 n8n 在整個程式碼庫中處理安全的方式存在系統性問題。
- Ni8mare 無需認證。 任何啟用 webhook 的工作流程都是一扇敞開的門。如果您的實例在修補前就已暴露,可能已經遭到入侵。
- 最低安全版本為 v2.5.2+。 如果您運行的是 v2.2.2 或更舊版本,即使修補了其他漏洞,您仍然容易受到 Ni8mare 攻擊。
遷移路徑
JieGou 的 n8n 匯入精靈自動將您的 n8n 工作流程 JSON 匯出轉換為 JieGou 工作流程——現在還包含安全評估,識別易受 Ni8mare 攻擊的 webhook 節點:
- 匯出您的 n8n 工作流程(設定 → 匯出所有工作流程)
- 上傳 JSON 到 JieGou 的匯入精靈
- 審查轉換結果——50+ 節點類型映射自動處理,加上安全評估標記易受攻擊的節點(webhook 觸發器、程式碼節點、SQL 節點、LangChain 代理)
- 部署使用託管主機、零修補和 SOC 2 就緒的合規基礎設施
安全評估會掃描您的工作流程中映射到已知 CVE 的節點:
- Webhook 觸發器 → CVE-2026-21858 (Ni8mare) — 嚴重
- Code / Function 節點 → CVE-2026-27577(表達式沙箱逃逸)— 高
- PostgreSQL / MySQL / MSSQL 節點 → CVE-2026-27497(SQL RCE)— 高
- LangChain Agent / Chain 節點 → CVE-2026-27495(任務執行器突破)— 中
- Form 觸發器 → CVE-2026-27493(未認證表單評估)— 中
更新的 CVE 摘要
| 指標 | 數量 |
|---|---|
| 2026 年 2 月 CVE 總數 | 20+ |
| 嚴重等級(CVSS 9.4–10.0) | 7 |
| 獨立 RCE 向量 | 4 |
| 未認證 RCE (Ni8mare) | 1 (CVSS 10.0) |
| 國家機構警告 | 2(新加坡 CSA、加拿大 CCCS) |
| 暴露實例 | 約 100,000 |
| 最低安全版本 | v2.5.2+ |
安全比較
| 維度 | JieGou | n8n |
|---|---|---|
| CVE(2026 年 2 月) | 0 | 20+ 總計,7 個嚴重 |
| RCE 向量 | 不適用 | 4 個獨立 |
| 未認證 RCE | 不適用 | CVE-2026-21858 Ni8mare |
| 政府警告 | 不需要 | 新加坡 CSA、加拿大 CCCS |
| 暴露實例 | 不適用(雲端 + VPC) | 約 100,000 |
| 測試套件 | 11,875 個測試,99.18% 覆蓋率 | 開源;社群測試 |
| SOC 2 | 技術完成,17 項政策,稽核待定 | 不提供 |
| 靜態加密 | AES-256-GCM (BYOK) | 不包含(社群版) |
| RBAC | 6 個角色,20 個權限 | 基本(管理員/編輯者) |
| 稽核日誌 | 30 種動作類型,不可變 | 不包含(社群版) |
開始遷移
20+ 個漏洞。四個獨立的遠端程式碼執行攻擊面。其中一個無需認證。國家網路安全機構發布正式警告。
如果您正在運行 n8n——特別是自託管——Ni8mare 已從根本上改變了風險狀況。
- 匯入您的 n8n 工作流程 — 自動匯入 50+ 節點映射和安全評估
- 閱讀遷移指南 — 逐步技術演練
- 比較 JieGou vs. n8n — 完整功能和安全比較