Một lỗ hổng bảo mật nghiêm trọng mới đã được công bố trong nền tảng tự động hóa quy trình làm việc n8n mà, nếu bị khai thác thành công, có thể dẫn đến việc thực thi các lệnh hệ thống tùy ý.
Lỗ hổng này, được theo dõi là CVE-2026-25049 (điểm CVSS: 9.4), là kết quả của việc vệ sinh dữ liệu không đầy đủ, bỏ qua các biện pháp bảo vệ đã được đưa ra để khắc phục CVE-2025-68613 (điểm CVSS: 9.9), một lỗi nghiêm trọng khác đã được n8n vá vào tháng 12 năm 2025.
"Các exploits bổ sung trong việc đánh giá biểu thức của n8n đã được xác định và vá sau CVE-2025-68613," các nhà bảo trì của n8n cho biết trong một bản tư vấn được phát hành vào thứ Tư.
"Một người dùng đã xác thực có quyền tạo hoặc sửa đổi các workflows có thể lạm dụng các biểu thức được tạo sẵn trong các tham số workflow để kích hoạt việc thực thi lệnh hệ thống ngoài ý muốn trên máy chủ đang chạy n8n."
Các phiên bản bị ảnh hưởng
Vấn đề này ảnh hưởng đến các phiên bản sau:
- <1.123.17 (Đã khắc phục trong 1.123.17)
- <2.5.2 (Đã khắc phục trong 2.5.2)
Có tới 10 nhà nghiên cứu bảo mật, bao gồm Fatih Çelik, người đã báo cáo lỗi gốc CVE-2025-68613, cũng như Cris Staicu từ Endor Labs, Eilon Cohen từ Pillar Security và Sandeep Kamble từ SecureLayer7, đã được ghi nhận vì phát hiện ra thiếu sót này.
"Một attacker tạo một workflow với một webhook có thể truy cập công khai mà không bật authentication," SecureLayer7 cho biết. "Bằng cách thêm một dòng JavaScript sử dụng cú pháp destructuring, workflow có thể bị lạm dụng để thực thi các system-level commands. Một khi bị exposed, bất kỳ ai trên internet đều có thể kích hoạt webhook và chạy commands remotely."
Khai thác thành công lỗ hổng này có thể cho phép một attacker thỏa hiệp server, steal credentials, và exfiltrate sensitive data, chưa kể mở ra cơ hội cho các threat actors cài đặt persistent backdoors để tạo điều kiện truy cập dài hạn.
Công ty cybersecurity cũng lưu ý rằng mức độ nghiêm trọng của flaw tăng lên đáng kể khi nó được kết hợp với tính năng webhook của n8n, cho phép một adversary tạo một workflow sử dụng một public webhook và thêm một remote code execution payload vào một node trong workflow, gây ra webhook này có thể truy cập công khai một khi workflow được kích hoạt.
Báo cáo của Pillar đã mô tả vấn đề này là cho phép một attacker đánh cắp API keys, cloud provider keys, database passwords, OAuth tokens, và truy cập filesystem và internal systems, pivot sang các connected cloud accounts, và hijack artificial intelligence (AI) workflows.
"Cuộc tấn công không yêu cầu điều gì đặc biệt. Nếu bạn có thể tạo một workflow, bạn có thể kiểm soát server," Cohen nói.
Endor Labs, công ty cũng đã chia sẻ chi tiết về vulnerability, cho biết vấn đề phát sinh từ những gaps trong n8n's sanitization mechanisms cho phép bypassing security controls.
"Vulnerability phát sinh từ sự không khớp giữa TypeScript's compile-time type system và JavaScript's runtime behavior," Staicu giải thích. "Trong khi TypeScript enforces rằng một property nên là một string tại compile time, việc enforcement này bị giới hạn ở các values có trong code trong quá trình compilation."
"TypeScript không thể enforce các type checks này trên các runtime attacker-produced values. Khi attackers craft malicious expressions tại runtime, họ có thể pass non-string values (chẳng hạn như objects, arrays, hoặc symbols) mà bypass hoàn toàn sanitization check."
Biện pháp khắc phục tạm thời
Nếu việc patching ngay lập tức không phải là một lựa chọn, người dùng nên làm theo các workarounds dưới đây để giảm thiểu tác động của potential exploitation:
- Restrict workflow creation và editing permissions cho fully trusted users only
- Deploy n8n trong một hardened environment với restricted operating system privileges và network access
"Vulnerability này demonstrates tại sao multiple layers of validation lại rất quan trọng. Ngay cả khi một layer (kiểu TypeScript) có vẻ strong, các runtime checks bổ sung là necessary khi processing untrusted input," Endor Labs cho biết. "Pay special attention đến sanitization functions trong quá trình code review, looking for assumptions about input types that aren't enforced at runtime."
