2026-01-09 02:53:46 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 长亭安全披露n8n存在远程代码执行漏洞CVE-2026-21858。漏洞源于Content-Type混淆，未授权攻击者可通过公开表单节点读取服务器敏感文件，进而绕过身份验证实现RCE。影响n8n版本小于1.121.0。建议用户尽快升级至安全版本，并避免将系统直接暴露于公网。 综合评分： 90 文章分类： 漏洞预警,漏洞分析,WEB安全,应急响应,漏洞POC

cover_image

【已复现】n8n 前台远程代码执行漏洞（CVE-2026-21858）

长亭安全应急响应中心

2026年1月8日 18:47 北京

n8n 是一款开源的工作流自动化平台，广泛应用于企业和个人的自动化流程管理，提供节点式工作流编排、API 集成和数据处理等功能。

2026年1月，长亭安全应急响应中心监测到 n8n 存在远程代码执行漏洞（CVE-2026-21858）。经分析，未经身份验证的攻击者可通过公开访问的表单节点远程访问服务器上的敏感文件，结合后台漏洞可实现远程代码执行，利用难度较低，建议受影响的用户尽快修复。

漏洞描述

Description

漏洞成因

CVE-2026-21858 是 n8n 中一个由 Content-Type 混淆导致的文件处理缺陷。漏洞核心在于 parseRequestBody() 函数根据 Content-Type 头选择解析器：当值为 multipart/form-data 时调用文件上传解析器 parseFormData()，否则调用常规解析器 parseBody()。

然而，在表单提交处理函数 formWebhook() 中，调用 copyBinaryFile() 处理文件时，未验证请求的 Content-Type 是否为 multipart/form-data。攻击者可构造恶意请求，控制 req.body.files 对象，指定服务器上的任意文件路径，导致系统复制本地敏感文件而非上传的文件，造成信息泄露。

漏洞影响

敏感信息泄露：攻击者可远程读取 n8n 服务器上的任意文件，从而获取管理员凭证、加密密钥、API 密钥、OAuth 令牌等敏感数据。

身份验证绕过：攻击者利用泄露的用户信息和加密密钥可伪造管理员会话 Cookie，绕过身份验证获取管理员权限。

远程代码执行：获得管理员权限后，攻击者可创建包含”Execute Command”节点的恶意工作流，实现在服务器上执行任意命令，完全控制 n8n 实例。

处置优先级：高

漏洞类型：远程代码执行

漏洞危害等级：高

触发方式：网络远程

权限认证要求：无需权限

系统配置要求：存在公开访问的表单节点

用户交互要求：无需用户交互

利用成熟度：POC/EXP 已公开

修复复杂度：低，官方已提供修复方案

影响版本

Affects

n8n <&nbsp;1.121.0

解决方案

Solution

#

升级修复方案

升级至 1.121.0 或更高版本，下载地址：https://github.com/n8n-io/n8n/releases

临时缓解方案如非必要，避免将该系统直接暴露在互联网漏洞复现 Reproduction 04 产品支持 Support 05 云图：默认支持该产品的指纹识别，同时支持该漏洞的PoC检测洞鉴：默认支持该产品的指纹识别，同时支持该漏洞的自定义PoC检测雷池：默认支持部分敏感文件读取的检测，预计 2026.01.08 发布更新包支持 RCE 利用链的检测全悉：默认支持部分敏感文件读取的检测，预计 2026.01.08 发布更新包支持 RCE 利用链的检测无锋：默认支持该产品的指纹识别，预计 2026.01.08支持该漏洞的PoC原理检测时间线 Timeline 06 2026年1月8日长亭安全应急响应中心发布通告参考资料： [1].https://github.com/advisories/GHSA-v4pr-fm98-w9pg

长亭应急响应服务

全力进行产品升级

及时将风险提示预案发送给客户

检测业务是否受到此次漏洞影响

请联系长亭应急服务团队

7*24小时，守护您的安全

第一时间找到我们：

邮箱：[email protected]

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：长亭安全应急响应中心《【已复现】n8n 前台远程代码执行漏洞（CVE-2026-21858）》