Lỗ hổng n8n RCE nghiêm trọng: Khẩn cấp vá lỗi!

Một lỗ hổng remote code execution (RCE) nghiêm trọng đã được phát hiện trong n8n, nền tảng tự động hóa quy trình làm việc mã nguồn mở. Lỗ hổng n8n RCE này phơi bày hơn 103.000 trường hợp cài đặt có khả năng bị tấn công trên toàn cầu, đặt ra rủi ro đáng kể cho các hệ thống sử dụng.

Phân tích Kỹ thuật: Lỗ hổng CVE-2025-68613 trong n8n

Lỗ hổng CVE-2025-68613 này được định danh là CVE-2025-68613, với điểm số CVSS tối đa là 9.9 (nghiêm trọng), chỉ ra mức độ rủi ro cực kỳ cao. Nó tồn tại trong hệ thống đánh giá biểu thức (workflow expression evaluation system) của các workflow trong n8n.

Cụ thể, kẽ hở cho phép những kẻ tấn công đã xác thực thực thi mã tùy ý (arbitrary code) với đầy đủ đặc quyền của tiến trình. Điều này có thể dẫn đến khả năng chiếm quyền điều khiển hệ thống hoàn toàn thông qua remote code execution.

Hệ thống đánh giá biểu thức là một thành phần cốt lõi của n8n, cho phép người dùng định nghĩa các logic phức tạp trong workflow. Việc khai thác lỗ hổng trong thành phần này có thể cung cấp cho kẻ tấn công quyền kiểm soát sâu rộng.

Cơ chế Khai thác và Ảnh hưởng Hệ thống

Cơ chế khai thác bắt nguồn từ việc các biểu thức do người dùng đã xác thực nhập vào được chạy mà không có sự cô lập (isolation) thích hợp trong một số điều kiện nhất định. Điều này cho phép chúng truy cập và tương tác trực tiếp với hệ thống cơ bản, bỏ qua các biện pháp bảo mật dự kiến.

Lỗ hổng thiết kế này cho phép những kẻ tấn công có quyền truy cập hợp lệ, dù là ở cấp độ thấp, cũng có thể vượt qua các rào cản bảo mật hiện có. Từ đó, chúng thực thi mã tùy ý với đặc quyền cao nhất của tiến trình n8n.

Khai thác thành công lỗ hổng n8n RCE này cấp cho kẻ tấn công quyền truy cập trái phép vào dữ liệu nhạy cảm được lưu trữ trong các workflow. Điều này bao gồm thông tin xác thực, khóa API, hoặc bất kỳ dữ liệu nào được xử lý bởi các quy trình tự động hóa.

Ngoài ra, kẻ tấn công còn có khả năng sửa đổi cấu hình workflow hiện có và thực hiện các hoạt động cấp hệ thống. Các hoạt động này có thể bao gồm cài đặt phần mềm độc hại, tạo tài khoản người dùng mới, hoặc thay đổi cấu hình hệ thống quan trọng.

Tác động của lỗ hổng CVE này vượt ra ngoài các trường hợp cài đặt riêng lẻ. Nó đặc biệt nghiêm trọng đối với các tổ chức quản lý các quy trình tự động hóa quan trọng, nơi việc gián đoạn hoặc thao túng workflow có thể gây ra thiệt hại lớn về vận hành và dữ liệu.

Các Phiên bản Bị Ảnh hưởng và Cập nhật Bản Vá Bảo Mật

Lỗ hổng n8n RCE này ảnh hưởng đến tất cả các phiên bản n8n bắt đầu từ 0.211.0 và tiếp tục qua nhiều nhánh phát hành cho đến khi có bản vá.

Hướng dẫn Cập nhật và Biện pháp Giảm thiểu Tạm thời

Nhóm bảo mật n8n đã phát hành các bản vá bảo mật khẩn cấp trên ba lộ trình cập nhật khác nhau để khắc phục triệt để lỗ hổng này. Các tổ chức đang sử dụng n8n được đặc biệt khuyến nghị nâng cấp ngay lập tức lên các phiên bản đã được vá lỗi mới nhất để bảo vệ hệ thống của mình.

Để cập nhật n8n, người dùng có thể thực hiện theo hướng dẫn chính thức của n8n. Ví dụ, đối với môi trường Docker, có thể sử dụng lệnh sau để cập nhật image:

docker pull n8nio/n8n:latestdocker stop [tên_container_n8n]docker rm [tên_container_n8n]docker run -d --name [tên_container_n8n] -p 5678:5678 -v ~/.n8n:/home/node/.n8n n8nio/n8n:latest

Đối với các tổ chức không thể cập nhật ngay lập tức do hạn chế về vận hành hoặc kỹ thuật, các biện pháp giảm thiểu tạm thời có thể được áp dụng. Điều này bao gồm hạn chế quyền tạo và chỉnh sửa workflow chỉ cho những người dùng đáng tin cậy đã được kiểm duyệt kỹ lưỡng.

Ngoài ra, việc triển khai n8n trong các môi trường được bảo vệ chặt chẽ là cần thiết. Các biện pháp này bao gồm hạn chế đặc quyền hệ điều hành của tiến trình n8n và giới hạn quyền truy cập mạng của nó chỉ đến các tài nguyên cần thiết. Điều này giúp giảm thiểu phạm vi tác động nếu lỗ hổng n8n RCE bị khai thác.

Tuy nhiên, cần lưu ý rằng những giải pháp thay thế này không loại bỏ hoàn toàn rủi ro và chỉ đóng vai trò là biện pháp ngắn hạn. Việc áp dụng các bản vá bảo mật chính thức là cách duy nhất để giải quyết triệt để lỗ hổng này.

Tình trạng Khai thác và Phạm vi Phơi nhiễm

Tính đến ngày 19 tháng 12 năm 2025, ngày công bố chính thức, chưa có báo cáo nào về việc khai thác lỗ hổng n8n RCE này trong môi trường thực tế. Tuy nhiên, SecureLayer7 đã nhanh chóng công bố hướng dẫn khai thác proof-of-concept (PoC), làm tăng đáng kể nguy cơ bị tấn công trong tương lai gần.

Sự tồn tại của PoC công khai thường thúc đẩy các nhóm tin tặc hoặc những kẻ tấn công tìm cách khai thác lỗ hổng trước khi các tổ chức có thời gian vá lỗi hoàn toàn.

Dữ liệu từ Censys cho thấy quy mô phơi nhiễm khổng lồ, xác định tổng cộng 103.476 trường hợp cài đặt n8n có khả năng bị tấn công trên các mạng toàn cầu. Con số này nhấn mạnh sự khẩn cấp của các nỗ lực vá lỗi trên diện rộng.

Để biết thêm chi tiết về phạm vi phơi nhiễm toàn cầu của lỗ hổng CVE-2025-68613 và các khuyến nghị liên quan, bạn có thể tham khảo báo cáo của Censys tại đây: CVE-2025-68613 Censys Advisory.

Khuyến nghị Bảo mật Chuyên sâu

Để bảo vệ hệ thống khỏi lỗ hổng n8n RCE nghiêm trọng này, các tổ chức cần thực hiện các bước sau:

• Ưu tiên Vá lỗi Ngay lập tức: Triển khai các bản vá bảo mật mới nhất được n8n cung cấp ngay khi có thể. Đây là biện pháp hiệu quả nhất để loại bỏ hoàn toàn lỗ hổng.
• Kiểm tra Quyền Workflow: Rà soát và kiểm tra lại tất cả các quyền được cấp cho người dùng trên các workflow. Đảm bảo rằng chỉ những người dùng đáng tin cậy và cần thiết mới có quyền tạo hoặc chỉnh sửa workflow.
• Giám sát Hoạt động Workflow: Xem xét các sửa đổi workflow gần đây để phát hiện bất kỳ thay đổi trái phép hoặc đáng ngờ nào có thể là dấu hiệu của việc khai thác.
• Theo dõi Nhật ký Hệ thống: Tăng cường giám sát nhật ký hệ thống của máy chủ lưu trữ n8n. Tìm kiếm các dấu hiệu bất thường như thực thi lệnh không mong muốn, truy cập tệp lạ, hoặc thay đổi cấu hình hệ thống.
• Phân đoạn Mạng: Đảm bảo n8n được triển khai trong một phân đoạn mạng được cô lập (isolated network segment) với quyền truy cập hạn chế vào các tài nguyên nội bộ quan trọng.
• Giảm thiểu Đặc quyền: Chạy tiến trình n8n với đặc quyền người dùng thấp nhất có thể (least privilege) trên hệ điều hành để hạn chế thiệt hại trong trường hợp bị xâm nhập.

Với tính chất nghiêm trọng và mức độ phơi nhiễm rộng của lỗ hổng n8n RCE, việc coi đây là một sự cố bảo mật ưu tiên cao là điều cần thiết. Các biện pháp phòng ngừa chủ động và phản ứng nhanh chóng là chìa khóa để bảo vệ cơ sở hạ tầng tự động hóa và dữ liệu nhạy cảm khỏi các cuộc tấn công tiềm tàng.