n8n未经身份验证的文件访问CVE-2026-21858

n8n 是一个来自德国由 n8n GmbH 开发的开源工作流自动化平台，以节点化可视化编辑器为核心，打通应用/API/数据源的跨系统自动化。

一、基本情况

n8n兼顾无代码便捷与开发者自定义能力，支持自托管与云服务，适配个人到企业级的全场景流程编排，是实现跨系统自动化的高效工具。

n8n 以节点化可视化+高度扩展+数据主权为核心，是连接应用与 API 的自动化中枢，适合非技术人员快速搭建流程，满足深度定制需求。

栋科技漏洞库关注到 n8n 容易通过不正确的 Webhook 请求处理进行未经身份验证文件访问漏洞CVE-2026-21858，CVSS 3.X评分为10。

二、漏洞分析

CVE-2026-21858漏洞是位于版本低于 1.121.0 的 n8n 的安全漏洞，允许攻击者通过执行某些基于表单的工作流访问底层服务器上的文件。

一个易受攻击的工作流可能会向未经身份验证的远程攻击者授予访问权限，导致系统上存储的敏感信息暴露，该漏洞安全风险系数极高。

该漏洞可能导致系统上存储的敏感信息暴露，并且根据部署配置和工作流的使用情况，可能会进一步造成危害。

目前没有官方的解决方案，作为临时缓解措施，用户可以限制或禁用可公开访问的webhook和表单。

三、影响范围

n8n <= 1.65.0

四、解决建议

n8n >= 1.121.0

五、参考链接

管理员已设置登录后刷新可查看