Critical Ni8mare RCE and Expression Injection Vulnerability
n8n,一款流行的开源工作流自动化工具,在2025年底至2026年初披露了多个关键漏洞。这些缺陷使得攻击者能够实现未经身份验证的远程代码执行(RCE),对自托管部署构成严重风险。
漏洞概述
近期披露的漏洞中,有两个问题尤为突出。CVE-2026-21858(CVSS评分10.0),被Cyera研究实验室命名为“Ni8mare”,其根源在于Form Webhook文件处理中的内容类型混淆,允许攻击者读取任意文件、伪造管理员会话并在无需认证的情况下执行代码。CVE-2025-68613(CVSS评分9.9),由Orca Security和ReSecurity报告,允许已认证用户在工作流中注入恶意表达式,绕过沙箱限制,实现服务器端RCE。
技术细节分析
CVE-2026-21858 利用链:
- 拦截表单(Form)上传请求,并将Content-Type从
multipart/form-data篡改为application/json。 - 覆盖内部文件路径,以访问敏感数据,如
/etc/passwd或SQLite数据库。 - 伪造会话,并通过工作流触发器链接到操作系统命令执行。
CVE-2025-68613 攻击路径:
- 使用低权限访问权限进行身份验证,以创建/编辑工作流。
- 在表达式(expression)节点中注入恶意负载,利用薄弱的沙箱隔离。
- 升级至完全Node.js运行时控制,窃取凭据并破坏自动化流程。
这些漏洞的影响涵盖了CIA三要素(保密性、完整性、可用性):包括凭据窃取、工作流损坏以及在关联的企业系统内横向移动。截至2026年1月,仍有超过100,000个暴露在互联网上的n8n实例面临风险。
入侵指标(IOCs)
- 篡改了Content-Type头的异常Form/Webhook流量。
- 意外的文件读取或伪造的
/rest/sessions端点访问。 - 包含类似
require('child_process').exec表达式负载的新工作流。
缓解与修复措施
- 立即通过
npm update n8n或Docker拉取升级至最新的n8n版本。 - 禁用或隔离公共的Form/Webhook节点,强制执行严格的身份验证,并审核活跃工作流中的文件元素。
- 关注CISA KEV(已知被利用漏洞)目录以确定优先级,并使用Qualys等工具扫描环境中暴露的实例。
披露时间线要点
- 2025年11月9日: Ni8mare漏洞报告给n8n。
- 2025年11月18日: 初步补丁发布。
- 2026年1月6日至8日: Cyera、Orca、n8n发布公开安全公告。
在针对自动化平台的攻击日益增多的背景下,像n8n这样的自托管自动化平台需要严格的补丁管理。