工作流程自動化平臺n8n近日發布安全公告,修補2個可能導致遠端執行程式碼的重大漏洞。
第1個漏洞的編號為CVE-2026-33660,CVSS嚴重性評分達9.4分。問題是出在n8n用於處理不同來源資料合併的Merge節點,在「Combine by SQL」模式下使用的AlaSQL沙箱,對SQL指令處理存在缺陷,攻擊者可藉此執行任意程式碼或存取主機檔案。
第2個漏洞的編號是CVE-2026-33696,CVSS嚴重性評分同為9.4分,問題則是出在GSuiteAdmin節點存在原型污染(Prototype Pollution)類型弱點,攻擊者可藉此注入特定參數,進而觸發遠端執行任意程式碼與控制主機。
前述2個漏洞會影響n8n的2.14.x,2.13.x與1.123.x等版本,解決辦法是更新至2.14.1,2.13.3與1.123.27以後版本。
