Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) hôm thứ Tư đã bổ sung một lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến n8n vào danh mục Known Exploited Vulnerabilities (KEV) của mình, dựa trên bằng chứng về việc khai thác tích cực.
Lỗ hổng, được theo dõi là CVE-2025-68613 (điểm CVSS: 9.9), liên quan đến một trường hợp expression injection dẫn đến remote code execution. Lỗ hổng bảo mật này đã được n8n vá vào tháng 12 năm 2025 trong các phiên bản 1.120.4, 1.121.1 và 1.122.0. CVE-2025-68613 là lỗ hổng n8n đầu tiên được đưa vào danh mục KEV.
CISA cho biết: "N8n chứa lỗ hổng kiểm soát không đúng các tài nguyên mã được quản lý động trong hệ thống đánh giá biểu thức workflow của nó, cho phép remote code execution."
Theo những người duy trì nền tảng tự động hóa workflow, lỗ hổng này có thể bị một authenticated attacker lợi dụng để thực thi mã tùy ý với các đặc quyền của tiến trình n8n.
Khai thác lỗ hổng thành công có thể dẫn đến việc kiểm soát hoàn toàn instance, cho phép attacker truy cập dữ liệu nhạy cảm, sửa đổi các workflow hoặc thực hiện các hoạt động cấp hệ thống.
Hiện tại không có thông tin chi tiết về cách lỗ hổng đang bị khai thác trên thực tế. Dữ liệu từ Shadowserver Foundation cho thấy có hơn 24.700 instance chưa được vá đang bị phơi nhiễm trực tuyến, trong đó hơn 12.300 ở Bắc Mỹ và 7.800 ở Châu Âu tính đến đầu tháng 2 năm 2026.
Việc bổ sung CVE-2025-68613 diễn ra khi Pillar Security tiết lộ hai lỗ hổng nghiêm trọng khác trong n8n, trong đó một lỗ hổng – CVE-2026-27577 (điểm CVSS: 9.4) – đã được phân loại là "additional exploits" được phát hiện trong hệ thống đánh giá biểu thức workflow sau CVE-2025-68613.
Các cơ quan Federal Civilian Executive Branch (FCEB) đã được lệnh vá các instance n8n của họ trước ngày 25 tháng 3 năm 2026, theo chỉ thị của Binding Operational Directive (BOD 22-01) được ban hành vào tháng 11 năm 2021.
