MinhSec
Writer
Một lỗ hổng bảo mật cực kỳ nghiêm trọng vừa được phát hiện trong n8n nền tảng tự động hóa quy trình làm việc đang được sử dụng rộng rãi trên toàn cầu. Lỗ hổng này cho phép thực thi mã từ xa mà không cần xác thực, có thể dẫn tới việc máy chủ bị chiếm quyền kiểm soát hoàn toàn mà không để lại dấu hiệu rõ ràng.
Lỗ hổng được định danh là CVE-2026-21858, đạt điểm CVSS tuyệt đối 10.0. Theo các nhà nghiên cứu bảo mật, mọi phiên bản n8n trước 1.121.0 đều bị ảnh hưởng, đặc biệt nguy hiểm với các hệ thống tự lưu trữ và được công khai trên internet.
Theo dữ liệu quét từ Censys, hiện có 26.512 máy chủ n8n dễ bị tấn công đang trực tiếp hiển thị trên internet, tạo ra một bề mặt tấn công lý tưởng cho cả tin tặc cơ hội lẫn các nhóm tấn công tinh vi.
Với hơn 100 triệu lượt tải Docker và vai trò là trung tâm kết nối các dịch vụ như Google Drive, Salesforce, hệ thống thanh toán, cơ sở dữ liệu và đường ống CI/CD, n8n đang giữ vị trí then chốt trong hạ tầng số của nhiều doanh nghiệp. Một khi nền tảng này bị xâm nhập, toàn bộ hệ sinh thái liên kết phía sau cũng có nguy cơ sụp đổ.
Do không kiểm tra tiêu đề Content-Type trước khi xử lý dữ liệu tải lên, kẻ tấn công có thể đánh lừa hệ thống bằng cách gửi yêu cầu với Content-Type là application/json thay vì multipart/form-data. Điều này khiến n8n sử dụng sai trình phân tích cú pháp, cho phép chèn đường dẫn tệp tùy ý vào đối tượng xử lý nội dung.
Hệ quả là kẻ tấn công có thể đọc bất kỳ tệp cục bộ nào trên máy chủ, bao gồm các tệp cấu hình nhạy cảm. Đáng chú ý, n8n lưu trữ cơ sở dữ liệu người dùng và các bí mật xác thực ở dạng không mã hóa, thường nằm tại /home/node/.n8n/database.sqlite và /home/node/.n8n/config.
Bằng cách trích xuất các tệp này, kẻ tấn công có thể lấy được thông tin đăng nhập quản trị và khóa ký JWT, từ đó giả mạo phiên đăng nhập hợp lệ mà không cần mật khẩu.
Trong nhiều triển khai container, tiến trình n8n còn chạy với quyền cao, khiến mức độ ảnh hưởng càng nghiêm trọng. Kẻ tấn công lúc này có thể truy cập toàn bộ API key, token OAuth, thông tin đăng nhập đám mây và chuỗi kết nối cơ sở dữ liệu được lưu trữ trong hệ thống.
Đối với các doanh nghiệp lớn, nơi n8n được dùng để tự động hóa quy trình nhân sự, tài chính, vận hành và phát triển phần mềm, một cuộc xâm nhập như vậy có thể dẫn đến mất dữ liệu diện rộng, thao túng giao dịch, cài cắm mã độc và thiết lập cửa hậu lâu dài.
n8n đã phát hành bản vá phiên bản 1.121.0 vào ngày 18/11/2025 để khắc phục hoàn toàn lỗ hổng này. Các tổ chức được khuyến cáo cập nhật ngay lập tức, hạn chế việc phơi bày n8n ra internet, bật xác thực cho các nút Biểu mẫu và kiểm tra toàn bộ quy trình làm việc để phát hiện dấu hiệu xâm nhập.
Do n8n đóng vai trò trung tâm trong hạ tầng tự động hóa, lỗ hổng này được đánh giá là một trong những rủi ro bảo mật nghiêm trọng nhất đối với doanh nghiệp trong năm 2026, đặc biệt trong bối cảnh hàng chục nghìn máy chủ vẫn chưa được vá lỗi.(cybersecuritynews)
cybersecuritynews.com
Lỗ hổng được định danh là CVE-2026-21858, đạt điểm CVSS tuyệt đối 10.0. Theo các nhà nghiên cứu bảo mật, mọi phiên bản n8n trước 1.121.0 đều bị ảnh hưởng, đặc biệt nguy hiểm với các hệ thống tự lưu trữ và được công khai trên internet.
Theo dữ liệu quét từ Censys, hiện có 26.512 máy chủ n8n dễ bị tấn công đang trực tiếp hiển thị trên internet, tạo ra một bề mặt tấn công lý tưởng cho cả tin tặc cơ hội lẫn các nhóm tấn công tinh vi.
Với hơn 100 triệu lượt tải Docker và vai trò là trung tâm kết nối các dịch vụ như Google Drive, Salesforce, hệ thống thanh toán, cơ sở dữ liệu và đường ống CI/CD, n8n đang giữ vị trí then chốt trong hạ tầng số của nhiều doanh nghiệp. Một khi nền tảng này bị xâm nhập, toàn bộ hệ sinh thái liên kết phía sau cũng có nguy cơ sụp đổ.
Từ lỗi phân tích webhook đến chiếm quyền quản trị
Nguyên nhân của lỗ hổng xuất phát từ cách n8n xử lý các yêu cầu webhook, cụ thể là tại nút Form Webhook thành phần thường được dùng để tiếp nhận tệp trong các hệ thống nhân sự, cổng thông tin khách hàng hoặc nền tảng nội bộ.Do không kiểm tra tiêu đề Content-Type trước khi xử lý dữ liệu tải lên, kẻ tấn công có thể đánh lừa hệ thống bằng cách gửi yêu cầu với Content-Type là application/json thay vì multipart/form-data. Điều này khiến n8n sử dụng sai trình phân tích cú pháp, cho phép chèn đường dẫn tệp tùy ý vào đối tượng xử lý nội dung.
Hệ quả là kẻ tấn công có thể đọc bất kỳ tệp cục bộ nào trên máy chủ, bao gồm các tệp cấu hình nhạy cảm. Đáng chú ý, n8n lưu trữ cơ sở dữ liệu người dùng và các bí mật xác thực ở dạng không mã hóa, thường nằm tại /home/node/.n8n/database.sqlite và /home/node/.n8n/config.
Bằng cách trích xuất các tệp này, kẻ tấn công có thể lấy được thông tin đăng nhập quản trị và khóa ký JWT, từ đó giả mạo phiên đăng nhập hợp lệ mà không cần mật khẩu.
Thực thi mã từ xa và kịch bản xâm nhập toàn diện
Sau khi vượt qua lớp xác thực và đăng nhập với quyền quản trị, việc chiếm quyền hệ thống trở nên đơn giản. n8n cho phép người dùng tạo các quy trình làm việc có chứa nút thực thi lệnh, cho phép chạy trực tiếp các lệnh hệ điều hành.Trong nhiều triển khai container, tiến trình n8n còn chạy với quyền cao, khiến mức độ ảnh hưởng càng nghiêm trọng. Kẻ tấn công lúc này có thể truy cập toàn bộ API key, token OAuth, thông tin đăng nhập đám mây và chuỗi kết nối cơ sở dữ liệu được lưu trữ trong hệ thống.
Đối với các doanh nghiệp lớn, nơi n8n được dùng để tự động hóa quy trình nhân sự, tài chính, vận hành và phát triển phần mềm, một cuộc xâm nhập như vậy có thể dẫn đến mất dữ liệu diện rộng, thao túng giao dịch, cài cắm mã độc và thiết lập cửa hậu lâu dài.
n8n đã phát hành bản vá phiên bản 1.121.0 vào ngày 18/11/2025 để khắc phục hoàn toàn lỗ hổng này. Các tổ chức được khuyến cáo cập nhật ngay lập tức, hạn chế việc phơi bày n8n ra internet, bật xác thực cho các nút Biểu mẫu và kiểm tra toàn bộ quy trình làm việc để phát hiện dấu hiệu xâm nhập.
Do n8n đóng vai trò trung tâm trong hạ tầng tự động hóa, lỗ hổng này được đánh giá là một trong những rủi ro bảo mật nghiêm trọng nhất đối với doanh nghiệp trong năm 2026, đặc biệt trong bối cảnh hàng chục nghìn máy chủ vẫn chưa được vá lỗi.(cybersecuritynews)
Ni8mare Vulnerability Let Attackers Hijack n8n Servers - Exploit Released and 26,512 Hosts Vulnerable
A critical unauthenticated remote code execution vulnerability discovered in n8n, the popular workflow automation platform, exposes an estimated 100,000 servers globally to complete takeover.
cybersecuritynews.com
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
