🔒 Lỗ hổng n8n nghiêm trọng CVE-2026-25049 cho phép thực thi lệnh hệ thống thông qua quy trình làm việc độc hại

Một lỗ hổng bảo mật mới, nghiêm trọng đã được tiết lộ trong nền tảng tự động hóa quy trình làm việc n8n, nếu khai thác thành công, có thể dẫn đến việc thực thi các lệnh hệ thống tùy ý.

📋 Nội dung chi tiết

Lỗ hổng, được theo dõi là CVE-2026-25049 (điểm CVSS: 9,4), là kết quả của quá trình vệ sinh không đầy đủ, bỏ qua các biện pháp bảo vệ được áp dụng để giải quyết CVE-2025-68613 (điểm CVSS: 9,9), một lỗi nghiêm trọng khác đã được n8n vá vào tháng 12 năm 2025.

“Các khai thác bổ sung trong đánh giá biểu hiện của n8n đã được xác định và vá sau CVE-2025-68613,” những người bảo trì của n8n cho biết trong một lời khuyên được đưa ra hôm thứ Tư.

"Người dùng được xác thực có quyền tạo hoặc sửa đổi quy trình làm việc có thể lạm dụng các biểu thức được tạo thủ công trong các tham số quy trình làm việc để kích hoạt việc thực thi lệnh hệ thống ngoài ý muốn trên máy chủ đang chạy n8n."

Sự cố ảnh hưởng đến các phiên bản sau -

🔍 Thông tin bổ sung

<1.123.17 (Đã sửa trong 1.123.17)

<2.5.2 (Đã sửa trong 2.5.2)

Có tới 10 nhà nghiên cứu bảo mật, bao gồm Fatih Çelik, người đã báo cáo lỗi ban đầu CVE-2025-68613, cũng như Cris Staicu của Endor Labs, Eilon Cohen của Pillar Security và Sandeep Kamble của SecureLayer7, đã được công nhận vì đã phát hiện ra thiếu sót.

SecureLayer7said cho biết: “Kẻ tấn công tạo ra một quy trình làm việc với một webhook có thể truy cập công khai nhưng chưa kích hoạt xác thực”. "Bằng cách thêm một dòng JavaScript bằng cú pháp phá hủy, quy trình làm việc có thể bị lạm dụng để thực thi các lệnh cấp hệ thống. Sau khi bị lộ, bất kỳ ai trên Internet đều có thể kích hoạt webhook và chạy lệnh từ xa."

🔍 Thông tin bổ sung

Việc khai thác thành công lỗ hổng có thể cho phép kẻ tấn công xâm nhập máy chủ, đánh cắp thông tin đăng nhập và lấy cắp dữ liệu nhạy cảm, chưa kể mở ra cơ hội cho các tác nhân đe dọa cài đặt các cửa hậu liên tục để tạo điều kiện truy cập lâu dài.

Công ty an ninh mạng cũng lưu ý rằng mức độ nghiêm trọng của lỗ hổng tăng lên đáng kể khi nó được kết hợp với tính năng webhook của n8n, cho phép kẻ thù tạo quy trình công việc bằng cách sử dụng webhook công khai và thêm trọng tải thực thi mã từ xa vào một nút trong quy trình làm việc, khiến webhook có thể truy cập công khai sau khi quy trình công việc được kích hoạt.

Báo cáo của Pillar đã mô tả vấn đề này khi cho phép kẻ tấn công đánh cắp khóa API, khóa nhà cung cấp đám mây, mật khẩu cơ sở dữ liệu, mã thông báo OAuth và truy cập vào hệ thống tệp cũng như hệ thống nội bộ, chuyển sang các tài khoản đám mây được kết nối và chiếm đoạt quy trình làm việc trí tuệ nhân tạo (AI).

Cohen nói: “Cuộc tấn công không đòi hỏi gì đặc biệt. Nếu bạn có thể tạo ra một quy trình làm việc, bạn có thể sở hữu máy chủ”.

🔍 Thông tin bổ sung

Endor Labs, cũng chia sẻ chi tiết về lỗ hổng, cho biết vấn đề phát sinh từ những lỗ hổng trong cơ chế vệ sinh của n8n cho phép vượt qua các biện pháp kiểm soát bảo mật.

Staicu giải thích: “Lỗ hổng phát sinh từ sự không khớp giữa hệ thống loại thời gian biên dịch của TypeScript và hành vi thời gian chạy của JavaScript”. "Mặc dù TypeScript yêu cầu một thuộc tính phải là một chuỗi tại thời điểm biên dịch, nhưng việc thực thi này bị giới hạn ở các giá trị có trong mã trong quá trình biên dịch."

📌 Kết luận

Đây là một sự kiện đáng chú ý trong lĩnh vực an ninh mạng. Người dùng và doanh nghiệp cần cập nhật các biện pháp bảo mật để bảo vệ hệ thống của mình.