Skip to main content
HashnodeFPT IS SecurityFPT IS Security

Command Palette

Search for a command to run...

Thảm Họa Bảo Mật Trên Nền Tảng Automation n8n (Tháng 1/2026)

Updated
7 min read
Thảm Họa Bảo Mật Trên Nền Tảng Automation n8n (Tháng 1/2026)
Đ
Đinh Văn Mạnh
Part of seriesNewsletters

Vào tháng 1 năm 2026, cộng đồng mã nguồn mở và DevOps đã rúng động trước thông tin về hai lỗ hổng bảo mật cực kỳ nghiêm trọng trên n8n – nền tảng tự động hóa workflow (quy trình làm việc) phổ biến nhất thế giới hiện nay. Sự kết hợp của hai lỗ hổng này tạo ra một kịch bản "ngày tận thế" cho các hệ thống chưa được vá: từ việc tấn công không cần tài khoản đến việc leo thang đặc quyền để kiểm soát toàn bộ máy chủ.

"Ni8mare" (CVE-2026-21858)Sandbox Escape (CVE-2025-68668).

1. CVE-2026-21858: "Ni8mare" – Khi Kẻ Tấn Công Không Cần Chìa Khóa (CVSS 10.0)

Được phát hiện bởi Cyera Research Labs, lỗ hổng này đạt điểm tuyệt đối 10.0/10 trên thang đo CVSS. Điều này hiếm khi xảy ra và chỉ dành cho các lỗ hổng cho phép thực thi mã từ xa (RCE) mà không cần xác thực, không cần sự tương tác của người dùng và có độ phức tạp thấp.​

Cơ Chế Kỹ Thuật: Lỗi Logic trong Phân Tích Gói Tin (Parsing Logic Flaw)

Cốt lõi của lỗ hổng này nằm ở cách n8n xử lý các yêu cầu HTTP không đồng nhất, cụ thể là sự nhầm lẫn về Content-Type.

  1. Sự Bất Đồng Bộ Giữa Các Lớp Xử Lý: Ứng dụng n8n sử dụng các thư viện trung gian (middleware) để xử lý việc tải tệp tin (thường là multipart/form-data). Tuy nhiên, kẻ tấn công có thể gửi một yêu cầu HTTP được chế tác đặc biệt, trong đó phần thân (body) chứa dữ liệu tệp tin nhưng Content-Type lại được khai báo giả mạo (ví dụ: khai báo là application/json nhưng cấu trúc lại khác).​

  2. Ghi Đè Biến Nội Bộ (Parameter Injection): Do sự nhầm lẫn này, hệ thống không xử lý tệp tin theo quy trình an toàn thông thường mà cho phép dữ liệu đầu vào của kẻ tấn công ghi đè trực tiếp lên đối tượng req.body.files trong mã nguồn backend của n8n.

  3. Path Traversal (Leo Thang Đường Dẫn): Khi đã kiểm soát được req.body.files, kẻ tấn công thay đổi tham số đường dẫn tệp (filepath). Thay vì trỏ đến tệp tin tạm thời vừa tải lên, chúng trỏ đường dẫn này đến các tệp tin hệ thống nhạy cảm trên máy chủ.​

Kill Chain (Chuỗi Tấn Công): Từ Người Lạ Thành Admin

Kẻ tấn công khai thác lỗ hổng này theo quy trình 4 bước sau để chiếm quyền kiểm soát hoàn toàn ("Full Instance Takeover"):​

  • Bước 1: Trích Xuất Dữ Liệu Nhạy Cảm: Kẻ tấn công lợi dụng lỗi Path Traversal để buộc n8n đọc tệp tin cấu hình (config) hoặc cơ sở dữ liệu nội bộ (thường là SQLite tại /home/node/.n8n/database.sqlite).

  • Bước 2: Đánh Cắp Thông Tin Định Danh: Từ cơ sở dữ liệu vừa đọc được, chúng trích xuất danh sách người dùng, hash mật khẩu và quan trọng nhất là các khóa bí mật (auth secrets/encryption keys).

  • Bước 3: Giả Mạo Phiên Làm Việc (Session Forgery): Sử dụng các khóa bí mật vừa đánh cắp, kẻ tấn công tự tạo ra (sign) một cookie xác thực hợp lệ, đóng vai là tài khoản Administrator (Quản trị viên) của hệ thống.

  • Bước 4: Thực Thi Mã Từ Xa (RCE): Khi đã đăng nhập với quyền Admin, kẻ tấn công đơn giản là tạo một workflow mới, thêm một node "Execute Command" (một tính năng có sẵn của n8n) và chạy bất kỳ lệnh Linux nào chúng muốn (ví dụ: cài đặt backdoor, đào coin, hoặc xóa sạch dữ liệu).

2. CVE-2025-68668: Phá Vỡ Sandbox – Mối Đe Dọa Từ Bên Trong (CVSS 9.9)

Nếu "Ni8mare" là mối đe dọa từ bên ngoài, thì CVE-2025-68668 là minh chứng cho việc ngay cả người dùng hợp lệ cũng có thể trở thành mối nguy hiểm. Đây là lỗ hổng leo thang đặc quyền thông qua việc thoát khỏi môi trường cô lập (Sandbox Escape).​

Bối Cảnh: Python trong n8n

n8n cho phép người dùng viết mã tùy chỉnh (Custom Code) bằng JavaScript hoặc Python. Để an toàn, mã Python này thường được chạy trong một môi trường cô lập gọi là Sandbox (sử dụng thư viện Pyodide - một phiên bản Python chạy trên WebAssembly) nhằm ngăn chặn mã người dùng truy cập vào hệ điều hành máy chủ.​

Cơ Chế Khai Thác

  • Lỗi trong Pyodide Implementation: Phiên bản tích hợp Pyodide trong n8n (từ v1.0.0 đến trước v2.0.0) tồn tại một lỗ hổng trong cơ chế giới hạn quyền truy cập.

  • Thực Thi Lệnh Hệ Thống: Một người dùng đã đăng nhập (Authenticated User) có quyền tạo workflow có thể viết một đoạn mã Python đặc biệt trong "Code Node". Đoạn mã này khai thác lỗ hổng để "nhảy" ra khỏi giới hạn của WebAssembly/Pyodide và tương tác trực tiếp với Shell của hệ điều hành host.​

  • Hậu Quả: Kẻ tấn công có thể thực thi lệnh với quyền hạn của tiến trình n8n (thường là root trong container Docker hoặc người dùng n8n).

3. Tại Sao n8n Là "Mục Tiêu Vàng" Của Tin Tặc?

Việc chiếm quyền điều khiển một máy chủ n8n nguy hiểm hơn nhiều so với việc hack một website thông thường. Lý do nằm ở bản chất của công cụ này:

  1. Hub Kết Nối Trung Tâm (Central Hub): n8n được thiết kế để kết nối mọi thứ. Một server n8n thường lưu trữ API Keys, OAuth Tokens, Database Credentials của hàng loạt dịch vụ khác như Google Sheets, Slack, AWS, OpenAI, Salesforce, v.v.

  2. Bàn Đạp Tấn Công (Pivot Point): Từ n8n, kẻ tấn công có thể dễ dàng tấn công lan truyền (lateral movement) sang các hệ thống nội bộ khác mà n8n có quyền truy cập.

  3. Dữ Liệu Nhạy Cảm: Các workflow thường xử lý dữ liệu kinh doanh quan trọng (đơn hàng, thông tin khách hàng, email nội bộ) đi qua n8n theo thời gian thực.

4. Hướng Dẫn Khắc Phục và Phòng Thủ Toàn Diện

Để đối phó với mức độ nghiêm trọng của các lỗ hổng này, các quản trị viên hệ thống cần thực hiện chiến lược phòng thủ đa lớp ngay lập tức.

A. Nâng Cấp Phiên Bản (Bắt Buộc)

Đây là biện pháp duy nhất giải quyết triệt để vấn đề:

  • Nâng cấp ngay lập tức lên phiên bản n8n v2.0.0 hoặc mới hơn.

  • Phiên bản 2.0.0 đã thay đổi kiến trúc, sử dụng "Task Runner" làm mặc định cho Python, giúp cô lập hoàn toàn quá trình thực thi mã, ngăn chặn CVE-2025-68668.​

  • Đồng thời, các bản vá cho CVE-2026-21858 (lỗi parser) cũng đã được tích hợp trong các bản cập nhật mới nhất (từ 1.121.0 trở đi).​

B. Biện Pháp Giảm Thiểu (Mitigation) Nếu Chưa Thể Nâng Cấp

Nếu quy trình sản xuất (production) chưa cho phép nâng cấp ngay, hãy áp dụng các biến môi trường sau để khóa chức năng bị lỗi:​

  1. Tắt hoàn toàn Code Node (Nếu không dùng đến):

     bashexport NODES_EXCLUDE="[\"n8n-nodes-base.code\"]"

  2. Tắt Python trong Code Node (Chặn CVE-2025-68668):

     bashexport N8N_PYTHON_ENABLED=false

  3. Bật chế độ Task Runner thủ công (Cho phiên bản 1.x):

     bashexport N8N_RUNNERS_ENABLED=true
 export N8N_NATIVE_PYTHON_RUNNER=true

C. Chiến Lược Bảo Mật Mạng (Network Security)

  • Không Public ra Internet: Tuyệt đối không để Dashboard của n8n truy cập trực tiếp từ Internet công cộng.

  • Sử dụng VPN/Tunnel: Chỉ cho phép truy cập qua VPN nội bộ hoặc các giải pháp Zero Trust (như Cloudflare Tunnel, Tailscale).

  • Bảo vệ bằng Basic Auth/Reverse Proxy: Đặt thêm một lớp xác thực (ví dụ: Nginx Basic Auth) trước n8n để ngăn chặn các request khai thác lỗ hổng từ người lạ, ngay cả khi n8n có lỗ hổng chưa vá.​

5. Tham khảo

  1. New n8n Vulnerability (9.9 CVSS) Lets Authenticated Users Execute System Commands

  2. Critical unauthenticated RCE in n8n (CVE-2026-21858, CVSS 10.0) allows full instance takeover

  3. Ni8mare  -  Unauthenticated Remote Code Execution in n8n (CVE-2026-21858)

#cve-2026-21858#threat-intelligence#n8n#vulnerabilities

Comments

Join the discussion

No comments yet. Be the first to comment.

Newsletters

Part 1 of 50

More from this blog

F

FPT IS Security

755 posts

Dedicated to providing insightful articles on cybersecurity threat intelligence, aimed at empowering individuals and organizations to navigate the digital landscape safely.