一、漏洞详情

n8n是一款开源的低代码工作流自动化工具。

近日，官方修复n8n远程代码执行漏洞（CVE-2026-21858），该漏洞源于n8n 表单（Form）节点在处理请求时，未能正确验证Content-Type头部，导致攻击者可通过类型混淆覆盖req.body.files对象从而操纵文件路径参数，未经身份认证的用户可通过公开的表单节点读取任意文件并配合后台漏洞实现远程代码执行。

建议受影响用户做好资产自查以及预防工作，以免遭受黑客攻击。

二、影响范围

n8n < 1.121.0

三、修复建议

官方已发布安全补丁，请及时更新至最新版本：

n8n >= 1.121.0