Nền tảng tự động hóa quy trình làm việc mã nguồn mở n8n đã cảnh báo về một lỗ hổng bảo mật nghiêm trọng nhất, mà nếu bị khai thác thành công, có thể dẫn đến việc thực thi mã từ xa đã được xác thực (RCE).
Lỗ hổng này, được gán mã định danh CVE-2026-21877, được đánh giá 10.0 trên hệ thống tính điểm CVSS.
"Trong một số điều kiện nhất định, người dùng đã xác thực có thể khiến mã không đáng tin cậy được thực thi bởi dịch vụ n8n," n8n cho biết trong một khuyến nghị được phát hành vào thứ Ba. "Điều này có thể dẫn đến việc bị xâm nhập hoàn toàn vào phiên bản bị ảnh hưởng."
Những người duy trì cho biết cả các triển khai tự lưu trữ (self-hosted deployments) và các phiên bản n8n Cloud đều bị ảnh hưởng. Vấn đề này tác động đến các phiên bản sau:
- >= 0.123.0
- < 1.121.3
Lỗ hổng đã được khắc phục trong phiên bản 1.121.3, được phát hành vào tháng 11 năm 2025. Nhà nghiên cứu bảo mật Théo Lelasseux (@theolelasseux) đã được ghi nhận vì phát hiện và báo cáo lỗ hổng này.
Người dùng được khuyến nghị nâng cấp lên phiên bản này hoặc các phiên bản mới hơn để khắc phục hoàn toàn lỗ hổng. Nếu không thể vá lỗi ngay lập tức, điều quan trọng là quản trị viên phải hạn chế khả năng phơi nhiễm bằng cách vô hiệu hóa Git node và hạn chế quyền truy cập đối với người dùng không đáng tin cậy.
Việc công bố này diễn ra khi n8n đã giải quyết một loạt các lỗ hổng nghiêm trọng khác trên nền tảng (CVE-2025-68613 và CVE-2025-68668, điểm CVSS: 9.9) có thể dẫn đến việc thực thi mã trong các điều kiện cụ thể.
