Lỗ hổng n8n nghiêm trọng (CVSS 9.9) cho phép thực thi mã tùy ý

[T-X]

Một lỗ hổng bảo mật nghiêm trọng đã được phát hiện trong nền tảng tự động hóa quy trình làm việc n8n, nếu bị khai thác thành công, có thể dẫn đến việc thực thi mã tùy ý trong một số trường hợp nhất định.

Lỗ hổng bảo mật này, được theo dõi với mã CVE-2025-68613, có điểm CVSS là 9,9 trên thang điểm tối đa 10,0. Theo thống kê trên npm, gói phần mềm này có khoảng 57.000 lượt tải xuống mỗi tuần.

"Trong một số điều kiện nhất định, các biểu thức do người dùng đã xác thực cung cấp trong quá trình cấu hình quy trình làm việc có thể được đánh giá trong ngữ cảnh thực thi không đủ tách biệt khỏi môi trường chạy cơ bản," những người duy trì gói npm cho biết.

"Kẻ tấn công đã được xác thực có thể lợi dụng hành vi này để thực thi mã tùy ý với quyền hạn của tiến trình n8n. Việc khai thác thành công có thể dẫn đến việc xâm phạm hoàn toàn phiên bản bị ảnh hưởng, bao gồm truy cập trái phép vào dữ liệu nhạy cảm, sửa đổi quy trình làm việc và thực thi các thao tác cấp hệ thống."

Vấn đề này, ảnh hưởng đến tất cả các phiên bản, bao gồm cả các phiên bản cao hơn 0.211.0 và thấp hơn 1.120.4, đã được vá lỗi trong các phiên bản 1.120.4, 1.121.1 và 1.122.0. Theo nền tảng quản lý bề mặt tấn công Censys, tính đến ngày 22 tháng 12 năm 2025, có 103.476 trường hợp có khả năng bị tổn thương. Phần lớn các trường hợp này nằm ở Mỹ, Đức, Pháp, Brazil và Singapore.

Do tính chất nghiêm trọng của lỗ hổng, người dùng nên cập nhật càng sớm càng tốt. Nếu không thể vá lỗi ngay lập tức, nên giới hạn quyền tạo và chỉnh sửa quy trình làm việc cho người dùng đáng tin cậy và triển khai n8n trong môi trường được tăng cường bảo mật với các đặc quyền hệ điều hành và quyền truy cập mạng bị hạn chế để giảm thiểu rủi ro.