流行的自动化平台 n8n 存在一个严重漏洞,估计有 10 万台服务器完全暴露在攻击之下,这个缺陷糟糕到连登录都不需要……

这个漏洞是安全公司 Cyera 的研究人员发现的,CVSS 分数高达 10.0,之所以被称为‘ni8mare’是有原因的。这个缺陷被标记为 CVE-2026-21858,允许未经验证的攻击者在易受攻击的系统上执行任意代码,实际上将受影响环境的完全控制权交给了攻击者。除了打补丁,别无他法,用户被建议升级到 n8n 版本 1.121.0 或更高版本。

n8n 是一个自托管的开源自动化工具,很多组织用它来连接聊天应用、表单、云存储、数据库和第三方 API。它声称有超过 1 亿次 Docker 拉取,数百万用户和数千家公司用它来自动化从内部工作流程到客户服务的各类事务。

根据 Cyera 的说法,问题的根源在于 n8n 处理 webhook 的方式——这是在数据来自外部系统(如网络表单、消息平台或通知服务)时启动工作流的机制。通过利用所谓的“内容类型混淆漏洞”,攻击者可以操纵 HTTP 头部来覆盖应用程序内部使用的变量。这使得他们能够从底层系统读取任意文件,并将攻击升级为完全的远程代码执行权限。

简单来说,任何能通过网络访问到易受攻击的 n8n 实例的人都可以完全控制它,而无需凭据,然后进入该实例连接的任何系统。

正如Cyera研究员Dor Attias所说:“想象一下,一个拥有10,000+员工的大型企业,只有一个n8n服务器供所有员工使用。一个被攻陷的n8n实例不仅意味着失去一个系统,更意味着将攻击者的钥匙交给了所有东西。API凭证、OAuth令牌、数据库连接和云存储——这些都集中在一个地方。”

正是这种集中化让这个漏洞变得非常危险。n8n通常被信任来处理高价值的机密和广泛的访问权限,因为它负责协调组织内部的数字工作流程。

“n8n 一旦被攻破,其影响范围是巨大的,”Attias 警告道。“n8n 连接着无数系统,比如你的组织 Google Drive、OpenAI API 密钥、Salesforce 数据、IAM 系统、支付处理器、客户数据库、CI/CD 管道等。它就像你自动化基础设施的中枢神经系统。”

Cyera 赞扬 n8n 在问题披露后迅速作出反应。该公司表示,他们在 2025 年 11 月 9 日私下报告了这个漏洞,而 n8n 的安全团队在第二天就确认了这个问题。修复程序在 11 月 18 日作为 1.121.0 版本的一部分悄悄发布,比本周该漏洞被公开分配 CVE 标识符的时间早了几周。