Lỗi bảo mật n8n bị phát hiện: Tin tặc có thể chạy lệnh từ xa chỉ qua biểu mẫu công khai

[Nguyễn Tiến Đạt]

Các nhà nghiên cứu an ninh mạng vừa công bố chi tiết hai lỗ hổng bảo mật nghiêm trọng trong nền tảng tự động hóa quy trình làm việc n8n, hiện đã được vá. Những lỗ hổng này có thể bị khai thác để thực thi lệnh tùy ý trên máy chủ.

Hai lỗ hổng được xác định gồm:

• CVE-2026-27577 (CVSS: 9.4) – Lỗ hổng thoát khỏi môi trường sandbox biểu thức, có thể dẫn đến thực thi mã từ xa (RCE).
• CVE-2026-27493 (CVSS: 9.5) – Lỗi đánh giá biểu thức không được xác thực thông qua các nút Form của n8n.

Nhà nghiên cứu Eilon Cohen từ Pillar Security, người phát hiện và báo cáo vấn đề, cho biết CVE-2026-27577 xuất phát từ lỗi trong trình biên dịch biểu thức. Một trường hợp xử lý bị thiếu trong quá trình viết lại AST khiến biểu thức không bị biến đổi đúng cách, từ đó cho phép các biểu thức hợp lệ thực thi mã tùy ý trên máy chủ.

Lỗ hổng biểu mẫu công khai có thể dẫn đến thực thi mã​

Theo Pillar Security, lỗ hổng CVE-2026-27493 là một lỗi “đánh giá kép” trong các nút Form của n8n. Lỗi này có thể bị khai thác để chèn biểu thức độc hại, do các endpoint biểu mẫu được thiết kế công khai và không yêu cầu xác thực hoặc tài khoản n8n.

Kẻ tấn công chỉ cần lợi dụng một biểu mẫu công khai, chẳng hạn như “Liên hệ với chúng tôi”, rồi chèn payload vào trường Tên để thực thi các lệnh shell tùy ý trên hệ thống.

Trong thông báo bảo mật, n8n cho biết CVE-2026-27577 có thể bị khai thác bởi người dùng đã xác thực có quyền tạo hoặc chỉnh sửa quy trình làm việc. Những biểu thức được tạo sẵn trong tham số workflow có thể kích hoạt việc thực thi lệnh hệ thống ngoài ý muốn trên máy chủ chạy n8n.

Đáng chú ý, khi CVE-2026-27493 được kết hợp với một lỗ hổng thoát sandbox như CVE-2026-27577, kẻ tấn công có thể leo thang thành thực thi mã từ xa trên máy chủ n8n.

Các lỗ hổng này ảnh hưởng đến cả triển khai n8n tự lưu trữ và trên đám mây. Chúng đã được vá trong các phiên bản:

• 1.123.22
• 2.9.3
• 2.10.1

Nguy cơ rò rỉ thông tin đăng nhập và các lỗ hổng bổ sung​

Các chuyên gia cảnh báo kẻ tấn công có thể lợi dụng lỗ hổng để đọc biến môi trường N8N_ENCRYPTION_KEY, từ đó giải mã toàn bộ thông tin xác thực được lưu trữ trong cơ sở dữ liệu n8n. Dữ liệu có thể bị lộ gồm:

• Khóa AWS
• Mật khẩu cơ sở dữ liệu
• Mã thông báo OAuth
• Khóa API

Ngoài hai lỗi trên, các phiên bản n8n mới cũng khắc phục thêm hai lỗ hổng nghiêm trọng khác:

• CVE-2026-27495 (CVSS: 9.4) – Người dùng đã xác thực có quyền chỉnh sửa workflow có thể khai thác lỗ hổng chèn mã trong môi trường sandbox của JavaScript Task Runner để thực thi mã tùy ý ngoài sandbox.
• CVE-2026-27497 (CVSS: 9.4) – Người dùng có thể lợi dụng chế độ truy vấn SQL của nút Merge để thực thi mã tùy ý và ghi tệp trái phép trên máy chủ.

Để giảm thiểu rủi ro nếu chưa thể vá lỗi ngay lập tức, n8n khuyến nghị:

• Giới hạn quyền tạo và chỉnh sửa workflow chỉ cho người dùng đáng tin cậy.
• Triển khai n8n trong môi trường bảo mật với quyền hệ điều hành và quyền truy cập mạng hạn chế.
• Kiểm tra việc sử dụng các nút Form và cân nhắc vô hiệu hóa chúng bằng biến môi trường NODES_EXCLUDE.
• Vô hiệu hóa Form Trigger hoặc Merge node nếu cần thiết.
• Với CVE-2026-27495, sử dụng chế độ chạy bên ngoài với biến N8N_RUNNERS_MODE=external để hạn chế phạm vi ảnh hưởng.

Mặc dù hiện chưa có bằng chứng cho thấy các lỗ hổng này đang bị khai thác ngoài thực tế, các chuyên gia khuyến cáo người dùng cập nhật n8n lên phiên bản mới nhất càng sớm càng tốt để đảm bảo an toàn hệ thống.

 

Được phối hợp thực hiện bởi các chuyên gia của Bkav, cộng đồng An ninh mạng Việt Nam WhiteHat và cộng đồng Khoa học công nghệ VnReview