文章总结： n8n工作流自动化平台存在严重远程代码执行漏洞CVE-2026-25049，影响版本低于1.123.17和2.5.2。该漏洞源于表达式沙箱绕过机制，具有工作流创建或修改权限的认证用户可通过构造恶意表达式在主机上执行任意系统命令，CVSS评分9.4。攻击者可窃取存储的API密钥、数据库凭证等敏感信息，并可能劫持AI工作流或横向移动至云服务。该漏洞是CVE-2025-68613修复后的绕过，已公开PoC且观测到大规模扫描活动。建议立即升级至修复版本，限制工作流编辑权限，并实施网络隔离与日志监控。 综合评分： 88 文章分类： 漏洞预警,漏洞分析,应用安全,安全运营,漏洞POC

【高危漏洞预警】n8n工作流自动化平台远程代码执行漏洞CVE-2026-25049

cexlife cexlife

飓风网络安全

2026年2月6日 22:02 北京

漏洞描述:

n8n是一个开源的工作流自动化平台允许用户创建和监控工作流程,在1.123.17和2.5.2版本之前,具有创建或修改工作流权限的认证用户可以滥用工作流参数中的精心构造的表达式,在运行n8n的主机上触发未预期的系统命令执行

攻击场景:

攻击者可利用已认证用户的权限通过构造恶意工作流参数中的表达式,在运行n8n的主机上触发非预期的系统命令执行实现远程代码执行

影响产品:

n8n < 1.123.17, n8n < 2.5.2

检测方法:

检查n8n工作流参数配置验证是否有不受信任的输入被用于构造工作流参数表达式

尽快升级到n8n的1.123.17或2.5.2版本以上

缓解方案:

限制具有创建或修改工作流权限的用户数量并监控工作流参数的变更

建议措施:

立即升级：所有运行n8n的系统应尽快升级至修复版本（1.123.17或 2.5.2 及以上版本）

最小权限原则：限制用户对工作流编辑的权限，仅授权可信人员操作

输入过滤与沙箱机制：对用户输入的表达式进行白名单校验，避免执行危险函数

网络隔离：将 n8n 实例部署于隔离网络中，限制外部访问，仅允许可信 IP 访问

日志监控：启用并监控 n8n 的运行日志，重点关注异常命令调用、高权限操作行为

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：飓风网络安全 cexlife cexlife《【高危漏洞预警】n8n工作流自动化平台远程代码执行漏洞CVE-2026-25049》