【漏洞通告】n8n 表达式沙箱逃逸导致远程代码执行漏洞(CVE-2026-25049)

发布时间：2026-03-09浏览次数：

一、组件介绍

n8n 是一款‌开源的工作流自动化平台‌，它通过可视化拖拽节点的方式连接各种应用程序、服务和 API，帮助用户构建复杂的自动化流程而无需编写大量代码。其名称中的“n”代表“无数”，寓意其能够连接无数工具实现灵活集成。

2026年2月6日，深瞳漏洞实验室监测到一则n8n组件存在代码执行漏洞的信息，漏洞编号：CVE-2026-25049，漏洞威胁等级：高危。

n8n 工作流自动化平台存在表达式沙箱逃逸漏洞，该漏洞源于其 JavaScript 表达式评估组件的防御缺口，攻击者可通过箭头函数与解构赋值的语法组合，绕过沙箱防护，获取 Function 对象构造函数，最终实现任意代码执行。

目前受影响的n8n版本：

n8n < 1.123.17

2.0.0 ≤ n8n < 2.5.

1)官方修复建议。

官方已发布最新版本修复该漏洞，建议受影响用户将n8n更新到最新版本。

下载链接：https://github.com/n8n-io/n8n/releases

2)临时修复建议

关闭未使用的功能模块，减少潜在攻击入口。

遵循最小权限原则，严控各类敏感操作权限范围。

非必要不暴露服务到公网，限制访问源为可信范围。

定期更新系统及各类组件至安全版本，及时修补已知隐患。