n8n警告CVSS满分漏洞影响自托管和云版本

开源工作流自动化平台n8n警告发现一个最高严重级别的安全漏洞，如果被成功利用，可能导致经过身份验证的远程代码执行攻击。

该漏洞已被分配CVE标识符CVE-2026-21877，在CVSS评分系统中被评为10.0分的满分等级。

n8n在周二发布的安全公告中表示："在特定条件下，经过身份验证的用户可能能够导致不受信任的代码被n8n服务执行。这可能导致受影响实例的完全妥协。"

维护人员表示，自托管部署和n8n云实例都会受到影响。该问题影响以下版本：

版本大于等于0.123.0且小于1.121.3的所有版本。

该漏洞已在2025年11月发布的1.121.3版本中得到修复。安全研究员Théo Lelasseux发现并报告了这个漏洞。

建议用户升级到该版本或更高版本以完全解决漏洞问题。如果无法立即进行补丁更新，管理员必须通过禁用Git节点和限制不受信任用户的访问来限制暴露范围。

此次披露正值n8n平台接连出现一系列关键漏洞之际，包括CVE-2025-68613和CVE-2025-68668（CVSS评分：9.9），这些漏洞在特定条件下可能导致代码执行。

Q&A

Q1：CVE-2026-21877漏洞有多严重？

A：这是一个CVSS评分为10.0分的最高严重级别漏洞，可能导致经过身份验证的远程代码执行，最终可能完全妥协受影响的n8n实例。

Q2：哪些n8n版本会受到这个漏洞影响？

A：影响版本范围是大于等于0.123.0且小于1.121.3的所有版本，包括自托管部署和n8n云实例都会受到影响。

Q3：如何防护这个n8n安全漏洞？

A：最佳解决方案是升级到1.121.3版本或更高版本。如果无法立即更新，管理员应禁用Git节点并限制不受信任用户的访问权限来降低风险。