一、组件介绍

n8n是一款开源的工作流自动化平台，它通过可视化拖拽节点的方式连接各种应用程序、服务和 API，帮助用户构建复杂的自动化流程而无需编写大量代码。其名称中的“n”代表“无数”，寓意其能够连接无数工具实现灵活集成。

二、漏洞描述

n8n工作流自动化平台存在远程代码执行漏洞，已认证用户在配置工作流时提交的表达式，会在未与底层运行时充分隔离的执行环境中被解析执行，攻击者可借此以n8n进程权限执行任意代码，进而完全控制受影响实例，引发敏感数据泄露、工作流被篡改、系统级操作被非法执行等严重安全后果。

三、影响范围

目前受影响的n8n版本：

0.211.0≤n8n<1.120.4

n8n<1.121.1

n8n<1.122.0

四、修复建议

（一）官方修复建议

官方已发布最新版本修复该漏洞，建议受影响用户更新到最新版本。

n8n 1.120.* ≥ 1.120.4

n8n 1.121.* ≥ 1.121.1

n8n 1.122.* ≥ 1.122.0

下载链接：https://github.com/n8n-io/n8n/releases

（二）临时修复建议

1. 关闭未使用的功能模块，减少潜在攻击入口。

2. 遵循最小权限原则，严控各类敏感操作权限范围。

3. 非必要不暴露服务到公网，限制访问源为可信范围。

4. 定期更新系统及各类组件至安全版本，及时修补已知隐患。