Lỗ hổng CVE-2026-25049 n8n

Một lỗ hổng bảo mật mới được phát hiện trong nền tảng tự động hóa quy trình làm việc n8n cho phép thực thi các lệnh hệ thống tùy ý trong một số điều kiện nhất định. Lỗ hổng này được theo dõi với mã CVE-2026-25049 và có điểm CVSS là 9.4, phản ánh mức độ nghiêm trọng đáng kể. Nếu bị khai thác thành công, vấn đề này cho phép kẻ tấn công thực thi các lệnh cấp hệ thống trên máy chủ lưu trữ n8n.

Vượt qua lỗ hổng bảo mật đã được vá trước đó

Lỗ hổng CVE-2026-25049 bắt nguồn từ việc xử lý dữ liệu không đầy đủ, dẫn đến việc bỏ qua các biện pháp bảo vệ được đưa ra để khắc phục lỗ hổng CVE-2025-68613 (CVSS 9.9), một lỗ hổng nghiêm trọng đã được vá vào tháng 12 năm 2025. Phân tích tiếp theo cho thấy rằng lỗ hổng CVE mới này thực chất là một cách bỏ qua bản vá ban đầu chứ không phải là một vấn đề hoàn toàn riêng biệt. Các nhà nghiên cứu đã chứng minh rằng cả hai lỗ hổng đều cho phép kẻ tấn công thoát khỏi hộp cát biểu thức của n8n và vượt qua các kiểm tra bảo mật hiện có. Sau khi được công bố trước đó, các điểm yếu bổ sung trong việc đánh giá biểu thức cũng đã được xác định và khắc phục.

Điều kiện tiên quyết tấn công và cơ chế khai thác

Bất kỳ người dùng nào được xác thực và có quyền tạo hoặc sửa đổi quy trình công việc đều có thể khai thác lỗ hổng này. Bằng cách chèn các biểu thức được tạo sẵn vào các tham số của quy trình công việc, kẻ tấn công có thể kích hoạt việc thực thi các lệnh hệ thống ngoài ý muốn. Một kịch bản đặc biệt nguy hiểm liên quan đến việc tạo một quy trình công việc để lộ một webhook có thể truy cập công khai mà không cần xác thực. Bằng cách nhúng một dòng mã JavaScript duy nhất sử dụng cú pháp phân rã, kẻ tấn công có thể khiến quy trình công việc thực thi các lệnh hệ thống. Sau khi quy trình công việc như vậy được kích hoạt, bất kỳ bên ngoài nào cũng có thể kích hoạt webhook và thực thi các lệnh từ xa.

Mức độ nghiêm trọng càng tăng cao khi kết hợp với chức năng webhook của n8n, cho phép các quy trình công việc độc hại được công khai. Trong những trường hợp như vậy, việc khai thác không yêu cầu đặc quyền cao hơn việc tạo quy trình công việc, nhấn mạnh rủi ro mà các nhà nghiên cứu đã tóm tắt như sau: nếu việc tạo quy trình công việc được cho phép, việc xâm nhập toàn bộ máy chủ là hoàn toàn có thể đạt được.

Nguyên nhân gốc rễ: Lỗ hổng trong việc thực thi kiểu dữ liệu và lạm dụng trong quá trình thực thi

Lỗ hổng này phát sinh từ những sơ hở trong cơ chế làm sạch dữ liệu của n8n và sự không tương thích cơ bản giữa hệ thống kiểu dữ liệu thời gian biên dịch của TypeScript và hành vi thời gian chạy của JavaScript. Mặc dù TypeScript thực thi các ràng buộc kiểu dữ liệu trong quá trình biên dịch, nhưng nó không thể đảm bảo các ràng buộc này đối với các giá trị do kẻ tấn công kiểm soát được đưa vào trong thời gian chạy. Bằng cách cung cấp các giá trị không phải chuỗi, chẳng hạn như đối tượng hoặc mảng, kẻ tấn công có thể vượt qua logic làm sạch dữ liệu vốn giả định đầu vào chỉ là chuỗi, từ đó vô hiệu hóa các biện pháp kiểm soát an ninh quan trọng.

Tác động tiềm tàng đến hệ thống và dữ liệu

Việc khai thác thành công có thể dẫn đến việc chiếm quyền kiểm soát hoàn toàn máy chủ. Kẻ tấn công có thể đánh cắp thông tin đăng nhập, trích xuất dữ liệu nhạy cảm, truy cập vào hệ thống tập tin và các dịch vụ nội bộ, chuyển hướng sang môi trường đám mây được kết nối và chiếm đoạt các quy trình làm việc của trí tuệ nhân tạo. Khả năng cài đặt cửa hậu tồn tại lâu dài càng làm tăng thêm nguy cơ truy cập bí mật, lâu dài.

Các phiên bản bị ảnh hưởng và hướng dẫn khắc phục

Lỗ hổng này ảnh hưởng đến các phiên bản n8n cũ hơn các bản phát hành đã được vá lỗi và được phát hiện nhờ sự đóng góp của mười nhà nghiên cứu bảo mật độc lập. Các phiên bản sau đây bị ảnh hưởng, cùng với các biện pháp khắc phục tạm thời được khuyến nghị khi việc vá lỗi ngay lập tức không khả thi:

Các phiên bản bị ảnh hưởng: Các phiên bản n8n cũ hơn 1.123.17 và 2.5.2, nơi các bản vá lỗi đã được phát hành.

Các biện pháp giảm thiểu được đề xuất: hạn chế việc tạo và chỉnh sửa quy trình làm việc chỉ cho người dùng hoàn toàn đáng tin cậy, và triển khai n8n trong môi trường được tăng cường bảo mật với các đặc quyền hệ điều hành bị hạn chế và quyền truy cập mạng bị giới hạn.

Vấn đề này nhấn mạnh sự cần thiết của các chiến lược xác thực nhiều lớp. Các đảm bảo tại thời điểm biên dịch phải được bổ sung bằng các kiểm tra nghiêm ngặt tại thời điểm chạy, đặc biệt khi xử lý dữ liệu đầu vào không đáng tin cậy. Việc xem xét mã nên tập trung vào các quy trình làm sạch dữ liệu và tránh các giả định về loại dữ liệu đầu vào mà không được thực thi tại thời điểm chạy.

Các lỗ hổng bảo mật n8n mức độ nghiêm trọng cao bổ sung

Cùng với CVE-2026-25049, n8n đã công bố các cảnh báo về bốn lỗ hổng bảo mật khác, trong đó có hai lỗ hổng được xếp hạng nghiêm trọng:

CVE-2026-25053 (CVSS 9.4) : Lỗ hổng chèn lệnh hệ điều hành trong node Git, cho phép người dùng đã xác thực có quyền quản trị quy trình làm việc thực thi lệnh hoặc đọc các tập tin tùy ý; đã được khắc phục trong các phiên bản 2.5.0 và 1.123.10.

CVE-2026-25054 (CVSS 8.5) : Lỗ hổng tấn công kịch bản chéo trang (cross-site scripting) được lưu trữ trong một thành phần hiển thị Markdown, cho phép thực thi kịch bản với đặc quyền cùng nguồn gốc và khả năng chiếm đoạt tài khoản; đã được khắc phục trong các phiên bản 2.2.1 và 1.123.9.

CVE-2026-25055 (CVSS 7.1) : Lỗ hổng duyệt thư mục trong nút SSH có thể dẫn đến việc ghi tệp vào các vị trí không mong muốn và khả năng thực thi mã từ xa trên hệ thống mục tiêu; đã được khắc phục trong các phiên bản 2.4.0 và 1.123.12.

CVE-2026-25056 (CVSS 9.4) : Lỗ hổng ghi tệp tùy ý trong chế độ Truy vấn SQL của nút Merge, có khả năng dẫn đến thực thi mã từ xa; đã được khắc phục trong các phiên bản 2.4.0 và 1.118.0.

Cập nhật khẩn cấp để giảm thiểu rủi ro

Với phạm vi và mức độ nghiêm trọng của các lỗ hổng đã được xác định, việc cập nhật các hệ thống n8n lên phiên bản mới nhất hiện có được khuyến nghị mạnh mẽ. Vá lỗi kịp thời vẫn là biện pháp phòng vệ hiệu quả nhất chống lại việc khai thác và xâm nhập hệ thống sau đó.