Các nhà nghiên cứu an ninh mạng đã công bố chi tiết về hai lỗ hổng bảo mật đã được vá trong nền tảng tự động hóa quy trình làm việc n8n, bao gồm hai lỗi nghiêm trọng có thể dẫn đến thực thi lệnh tùy ý.
Các lỗ hổng được liệt kê dưới đây:
- CVE-2026-27577 (điểm CVSS: 9.4) - Lỗi thoát khỏi vùng bảo mật (Expression sandbox escape) dẫn đến thực thi mã từ xa (RCE)
- CVE-2026-27493 (điểm CVSS: 9.5) - Đánh giá biểu thức không cần xác thực thông qua các nút Form của n8n
"CVE-2026-27577 là một lỗi thoát khỏi vùng bảo mật (sandbox escape) trong trình biên dịch biểu thức: một trường hợp bị thiếu trong bộ viết lại AST cho phép tiến trình thoát ra mà không được chuyển đổi, cấp cho bất kỳ biểu thức được xác thực nào quyền thực thi mã từ xa (RCE) hoàn toàn," nhà nghiên cứu Eilon Cohen từ Pillar Security, người đã phát hiện và báo cáo các vấn đề này, cho biết trong một báo cáo được chia sẻ với The Hacker News.
Công ty an ninh mạng này mô tả CVE-2026-27493 là một "lỗi đánh giá kép" (double-evaluation bug) trong các nút Form của n8n có thể bị lạm dụng để chèn biểu thức bằng cách lợi dụng thực tế là các điểm cuối (endpoint) của biểu mẫu được thiết kế công khai và không yêu cầu cả xác thực lẫn tài khoản n8n.
Tất cả những gì cần thiết để khai thác thành công là tận dụng một biểu mẫu "Liên hệ" công khai để thực thi các lệnh shell tùy ý bằng cách chỉ cần cung cấp một payload làm đầu vào vào trường Name.
Trong một cảnh báo được phát hành vào cuối tháng trước, n8n cho biết CVE-2026-27577 có thể bị vũ khí hóa bởi một người dùng đã xác thực có quyền tạo hoặc sửa đổi workflow để kích hoạt việc thực thi lệnh hệ thống ngoài ý muốn trên máy chủ chạy n8n thông qua các biểu thức được tạo sẵn trong các tham số workflow.
N8n cũng lưu ý rằng CVE-2026-27493, khi được kết hợp với một lỗi thoát khỏi vùng bảo mật (expression sandbox escape) như CVE-2026-27577, có thể "leo thang thành thực thi mã từ xa (remote code execution) trên máy chủ n8n." Cả hai lỗ hổng đều ảnh hưởng đến các triển khai n8n tự lưu trữ (self-hosted) và trên đám mây (cloud):
- < 1.123.22, >= 2.0.0 < 2.9.3, và >= 2.10.0 < 2.10.1 - Đã được vá trong các phiên bản 2.10.1, 2.9.3, và 1.123.22
Nếu việc vá lỗi CVE-2026-27577 ngay lập tức không phải là một lựa chọn, người dùng được khuyên nên giới hạn quyền tạo và chỉnh sửa workflow cho những người dùng hoàn toàn đáng tin cậy và triển khai n8n trong một môi trường được bảo vệ chặt chẽ với các đặc quyền hệ điều hành và quyền truy cập mạng bị hạn chế.
Đối với CVE-2026-27493, n8n khuyến nghị các biện pháp giảm thiểu sau:
- Xem xét thủ công việc sử dụng các nút form để tìm các điều kiện tiên quyết đã nêu ở trên.
- Vô hiệu hóa nút Form bằng cách thêm n8n-nodes-base.form vào biến môi trường NODES_EXCLUDE.
- Vô hiệu hóa nút Form Trigger bằng cách thêm n8n-nodes-base.formTrigger vào biến môi trường NODES_EXCLUDE.
"Các biện pháp khắc phục này không hoàn toàn loại bỏ rủi ro và chỉ nên được sử dụng làm biện pháp giảm thiểu ngắn hạn," những người bảo trì cảnh báo.
Pillar Security cho biết một kẻ tấn công có thể khai thác các lỗ hổng này để đọc biến môi trường N8N_ENCRYPTION_KEY và sử dụng nó để giải mã mọi thông tin đăng nhập được lưu trữ trong cơ sở dữ liệu của n8n, bao gồm AWS keys, mật khẩu cơ sở dữ liệu, OAuth tokens và API keys.
Các phiên bản n8n 2.10.1, 2.9.3 và 1.123.22 cũng giải quyết thêm hai lỗ hổng nghiêm trọng khác cũng có thể bị lạm dụng để đạt được thực thi mã tùy ý:
- CVE-2026-27495 (điểm CVSS: 9.4) - Một người dùng đã xác thực có quyền tạo hoặc sửa đổi workflow có thể khai thác lỗ hổng tiêm mã (code injection) trong vùng bảo mật JavaScript Task Runner để thực thi mã tùy ý bên ngoài ranh giới vùng bảo mật.
- CVE-2026-27497 (điểm CVSS: 9.4) - Một người dùng đã xác thực có quyền tạo hoặc sửa đổi workflow có thể lợi dụng chế độ truy vấn SQL của nút Merge để thực thi mã tùy ý và ghi các tệp tùy ý lên máy chủ n8n.
Ngoài việc giới hạn quyền tạo và chỉnh sửa workflow cho những người dùng đáng tin cậy, n8n đã đưa ra các biện pháp khắc phục dưới đây cho từng lỗ hổng:
- CVE-2026-27495 - Sử dụng chế độ chạy bên ngoài (external runner mode) (N8N_RUNNERS_MODE=external) để hạn chế phạm vi ảnh hưởng.
- CVE-2026-27497 - Vô hiệu hóa nút Merge bằng cách thêm n8n-nodes-base.merge vào biến môi trường NODES_EXCLUDE.
Mặc dù n8n không đề cập đến bất kỳ lỗ hổng nào trong số này đang bị khai thác trên thực tế, người dùng vẫn được khuyên nên giữ các cài đặt của họ được cập nhật để bảo vệ tối ưu.
