DexSemon/CVE-2026-27495

GitHub: DexSemon/CVE-2026-27495

CVE-2026-27495 的概念验证项目,复现 n8n JavaScript Task Runner 通过宿主域对象泄露实现沙箱逃逸并最终导致 RCE 的漏洞利用全过程。

Stars: 0 | Forks: 0

# CVE-2026-27495 — n8n JS Task Runner 沙箱逃逸 通过宿主域对象泄露实现 n8n JavaScript Task Runner 的沙箱逃逸。 | | | |---|---| | **CVE** | CVE-2026-27495 | | **CVSS** | 9.4 (严重) | | **CWE** | CWE-94 — 代码注入 | | **受影响版本** | n8n < 1.123.22 / 2.0.0–2.9.2 / 2.10.0 | | **已修复版本** | 1.123.22 / 2.9.3 / 2.10.1 | | **攻击面** | Code 节点(已认证,已启用 Task Runners) | ## 快速开始 ### 1. 部署漏洞靶场 ``` docker compose up -d ``` 等待约 15 秒待 n8n 启动,然后打开 `http://localhost:5678` 并创建一个所有者账户(邮箱:`admin@test.com`,密码:`TestPassword123!`)。 ### 2. 安装依赖 ``` pip install requests ``` ### 3. 漏洞利用 **探测沙箱逃逸:** ``` python3 exploit.py --probe ``` **RCE** — 取消 `docker-compose.yml` 中 `NODE_FUNCTION_ALLOW_BUILTIN=*` 的注释,然后重启: ``` docker compose down && docker compose up -d python3 exploit.py --cmd "id && cat /etc/passwd" ``` **首次设置(自动创建所有者账户):** ``` python3 exploit.py --setup --probe ``` ## 用法 ``` Options: --url URL n8n base URL (default: http://localhost:5678) --email EMAIL Login email (default: admin@test.com) --password PASSWORD Login password --cmd CMD OS command to execute (RCE) --setup Create owner account (fresh instance) --probe Probe sandbox escape only (no RCE, works with any config) --proxy PROXY HTTP proxy (e.g. http://127.0.0.1:8080) ``` ## 免责声明 仅用于授权的安全研究和教育目的。
标签:Docker, Python, RCE, 安全防御评估, 无后门, 沙箱逃逸, 版权保护, 请求拦截, 逆向工具