n8n liên tiếp lộ nhiều lỗ hổng nghiêm trọng, hệ thống đối mặt với nguy cơ bị kiểm soát

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
123
1.481 bài viết
n8n liên tiếp lộ nhiều lỗ hổng nghiêm trọng, hệ thống đối mặt với nguy cơ bị kiểm soát
WhiteHat Team
Các chuyên gia an ninh mạng vừa liên tiếp phát hiện nhiều lỗ hổng bảo mật đặc biệt nghiêm trọng trong n8n. Đáng chú ý, một trong các lỗ hổng mới nhất cho phép kẻ tấn công không cần xác thực vẫn có thể đọc dữ liệu nhạy cảm, giả mạo quyền quản trị và tiến tới chiếm toàn bộ hệ thống n8n. Mức độ rủi ro từ các lỗ hổng này được đánh giá là rất lớn, đặc biệt trong bối cảnh n8n thường được triển khai để quản lý API key, token truy cập và kết nối tới nhiều hệ thống quan trọng khác.
1767854118746.png

n8n là nền tảng tự động hóa quy trình làm việc (workflow automation) cho phép kết nối các ứng dụng, dịch vụ và API khác nhau thông qua các node xử lý logic. Nhờ khả năng tập trung hóa dữ liệu và quyền truy cập, n8n thường được dùng làm “trung tâm điều phối” cho nhiều hệ thống nội bộ và dịch vụ đám mây. Chính đặc điểm này khiến n8n trở thành mục tiêu hấp dẫn đối với tin tặc, chỉ cần xâm nhập được n8n, kẻ tấn công có thể mở rộng quyền kiểm soát sang hàng loạt hệ thống khác.​

CVE-2026-21858 (Ni8mare): Lỗ hổng không cần xác thực, CVSS 10​

Lỗ hổng nghiêm trọng nhất vừa được công bố mang mã CVE-2026-21858, đạt điểm tối đa CVSS 10. Lỗ hổng được đặt tên là Ni8mare. Theo thông tin từ nhà phát triển, lỗ hổng cho phép kẻ tấn công từ xa truy cập trái phép vào các tệp tin trên máy chủ n8n thông qua các workflow dạng form, từ đó làm lộ dữ liệu nhạy cảm và tạo tiền đề cho việc xâm nhập sâu hơn vào hệ thống.

Điểm đáng lo ngại là lỗ hổng này không yêu cầu thông tin đăng nhập, ảnh hưởng tới tất cả các phiên bản n8n từ 1.65.0 trở về trước và chỉ được khắc phục từ phiên bản 1.121.0 (phát hành tháng 11/2025).​

Nguyên nhân kỹ thuật: Lỗi xử lý Content-Type trong webhook​

Phân tích kỹ thuật cho thấy nguyên nhân của CVE-2026-21858 nằm ở cơ chế xử lý webhook và dữ liệu upload trong n8n. Khi nhận yêu cầu HTTP, n8n phân tích nội dung dựa trên header Content-Type để quyết định cách xử lý dữ liệu. Tuy nhiên, một số hàm xử lý file trong workflow lại không kiểm tra đầy đủ Content-Type trước khi thao tác với dữ liệu tệp. Điều này cho phép kẻ tấn công kiểm soát biến chứa thông tin file và chỉ định đường dẫn tùy ý trên hệ thống, biến chức năng upload thành cơ chế đọc file cục bộ trái phép.​

Từ đọc file đến chiếm toàn quyền điều khiển​

Các nhà nghiên cứu đã chỉ ra một chuỗi khai thác thực tế:​
  • Đọc trực tiếp file cơ sở dữ liệu của n8n để lấy thông tin người dùng​
  • Trích xuất ID quản trị, email và mật khẩu đã băm​
  • Đọc file cấu hình để lấy khóa mã hóa​
  • Giả mạo phiên đăng nhập quản trị thông qua cookie​
  • Sau khi có quyền admin, tạo workflow mới để thực thi lệnh tùy ý trên máy chủ​
Khi đạt tới bước này, hệ thống n8n được xem là bị xâm nhập hoàn toàn, kéo theo nguy cơ lộ toàn bộ API key, token OAuth, kết nối cơ sở dữ liệu và dịch vụ đám mây.​

Không chỉ một lỗ hổng: n8n liên tiếp vá lỗi nghiêm trọng​

Trước đó, n8n cũng đã vá nhiều lỗ hổng mức Critical khác:​
  • CVE-2026-21877 (CVSS 10): Cho phép người dùng đã xác thực thực thi mã từ xa thông qua upload tệp nguy hiểm (đã vá trong phiên bản 1.121.3)​
  • CVE-2025-68613 và CVE-2025-68668 (CVSS 9,9): Các lỗ hổng cho phép thực thi mã hoặc vượt sandbox trong những điều kiện nhất định​
Việc nhiều lỗ hổng nghiêm trọng liên tiếp được phát hiện cho thấy n8n đang là mục tiêu theo dõi sát sao của giới tấn công mạng.​

Khuyến nghị từ chuyên gia an ninh mạng​

Các chuyên gia khuyến cáo người dùng và doanh nghiệp đang triển khai n8n cần khẩn trương:​
  • Nâng cấp lên phiên bản đã vá mới nhất​
  • Không để n8n phơi nhiễm trực tiếp ra Internet​
  • Bắt buộc xác thực với tất cả webhook và form​
  • Rà soát các workflow có xử lý upload file​
  • Theo dõi log để phát hiện dấu hiệu khai thác bất thường​
Trong trường hợp chưa thể cập nhật ngay, cần tạm thời vô hiệu hóa các endpoint webhook và form công khai để giảm thiểu rủi ro. Với n8n, chỉ một lỗ hổng cũng có thể trở thành “điểm sụp đổ” cho toàn bộ hệ thống phía sau. Việc cập nhật kịp thời, hạn chế phơi nhiễm và thiết kế workflow theo nguyên tắc an toàn là yếu tố then chốt để tránh các sự cố an ninh nghiêm trọng trong tương lai.​
WhiteHat
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • Cảnh báo khẩn: n8n dính lỗ hổng nghiêm trọng, nguy cơ chiếm quyền máy chủ
  • Lỗ hổng nghiêm trọng trong n8n cho phép tin tặc kiểm soát toàn bộ hệ thống
  • Mã độc PCPcat và ZnDoor liên tục khai thác React2Shell, an ninh web báo động đỏ
  • UNC6229 liên quan Việt Nam tấn công chuyên gia Digital Marketing bằng tin tuyển dụng
  • 22 doanh nghiệp bị ảnh hưởng sau vụ xâm nhập GitHub liên quan đến Drift
  • Tin tặc khai thác Cisco Safe Links để né bộ lọc liên kết và vượt qua hệ thống mạng
    • Thẻ
    cve-2025-68613 cve-2025-68668 cve-2026-21858 cve-2026-21877 n8n ni8mare
    Bên trên