Lỗ hổng CVE trong nền tảng tự động hóa quy trình n8n đang tạo ra nguy cơ bảo mật nghiêm trọng, khi nhiều lỗi có thể bị chuỗi hóa để dẫn tới remote code execution (RCE) trên hệ thống bị ảnh hưởng.
Thông tin tổng quan về lỗ hổng CVE trong n8n
Các vấn đề bảo mật này được công bố qua GitHub Security Advisories và được theo dõi dưới các mã CVE-2026-44789, CVE-2026-44790 và CVE-2026-44791. Tham chiếu chi tiết có thể xem tại GitHub Security Advisory và tra cứu thêm trên NVD.
Ba lỗ hổng CVE này ảnh hưởng đến các node lõi của n8n, gồm HTTP Request, Git và XML. Tất cả đều được đánh giá ở mức Critical, với điểm CVSS cho thấy tác động cao đến confidentiality, integrity và availability.
Điểm đáng chú ý là các lỗi có thể bị khai thác bởi người dùng đã xác thực nhưng chỉ có quyền thấp, miễn là họ có quyền chỉnh sửa workflow. Trong bối cảnh này, lỗ hổng CVE không yêu cầu quyền quản trị để mở rộng tấn công lên toàn bộ phiên bản n8n.
Phân tích từng lỗ hổng CVE
CVE-2026-44789: Prototype pollution trong HTTP Request node
CVE-2026-44789 ảnh hưởng đến HTTP Request node. Lỗi nằm ở việc kiểm tra không đúng các tham số phân trang, cho phép kẻ tấn công kích hoạt prototype pollution.
Lỗ hổng này thuộc CWE-1321, tức thao túng prototype của JavaScript ở cấp toàn cục. Trong thực tế, attacker có thể chèn thuộc tính độc hại vào object của ứng dụng, sau đó kết hợp với các kỹ thuật khác để đạt tới remote code execution.
Vì n8n thường kết nối với API ngoài và hệ thống nội bộ, lỗ hổng CVE này làm tăng đáng kể bề mặt tấn công, đặc biệt trong các môi trường tự động hóa có workflow phức tạp.
CVE-2026-44790: Argument injection trong Git node
CVE-2026-44790 ảnh hưởng đến Git node và cho phép chèn tham số CLI độc hại trong quá trình Git push. Mã lỗi này được phân loại dưới CWE-88 (argument injection).
Khai thác thành công có thể cho phép đọc các tệp tùy ý trên máy chủ, bao gồm:
- Dữ liệu cấu hình.
- Thông tin xác thực.
- Biến môi trường.
Trong nhiều trường hợp, việc truy cập được các thông tin trên có thể dẫn trực tiếp đến hệ thống bị xâm nhập hoàn toàn. Đây là một lỗ hổng CVE có mức độ rủi ro cao vì tác động không chỉ dừng ở rò rỉ dữ liệu mà còn mở đường cho chiếm quyền điều khiển.
CVE-2026-44791: Patch bypass trong XML node
CVE-2026-44791 liên quan đến XML node và là một dạng patch bypass. Dù đã có bản sửa trước đó cho một lỗi liên quan, attacker vẫn có thể khai thác các đường dẫn thay thế để tiếp tục thực hiện prototype pollution.
Khi được chuỗi hóa với các node dễ tổn thương khác, lỗ hổng này cũng có thể dẫn tới remote code execution. Điều đó khiến các bản vá trước đây không còn đủ an toàn nếu hệ thống vẫn chạy phiên bản chưa được cập nhật đầy đủ.
Phiên bản ảnh hưởng và bản vá bảo mật
Các lỗ hổng CVE này ảnh hưởng đến các phiên bản n8n thấp hơn 1.123.43, 2.20.7 và 2.22.1. Các bản đã được vá gồm 1.123.43, 2.20.7, 2.22.1 và các phiên bản mới hơn.
Hiện chưa có workaround hoàn chỉnh. Vì vậy, biện pháp ưu tiên là cập nhật bản vá ngay lập tức để giảm nguy cơ bảo mật và ngăn khả năng hệ thống bị tấn công.
Giảm thiểu rủi ro trong môi trường chưa thể vá ngay
Với các tổ chức chưa thể nâng cấp ngay, nhà nghiên cứu khuyến nghị giới hạn quyền tạo và chỉnh sửa workflow cho người dùng tin cậy בלבד. Đây chỉ là biện pháp tạm thời và không loại bỏ hoàn toàn lỗ hổng CVE.
Quản trị viên cũng có thể vô hiệu hóa các node dễ bị ảnh hưởng bằng biến môi trường NODES_EXCLUDE. Tuy nhiên, cách này chỉ làm giảm diện tấn công, không thay thế được việc vá lỗi.
NODES_EXCLUDE=HTTP Request,Git,XMLTrong thực tế vận hành, nên theo dõi các dấu hiệu phát hiện xâm nhập ở những workflow có quyền chỉnh sửa, đặc biệt khi người dùng thấp quyền có thể tương tác với các node nêu trên. Với một lỗ hổng CVE có thể bị chuỗi hóa, việc giám sát log và hành vi bất thường là cần thiết.
Tác động bảo mật của lỗ hổng CVE trong nền tảng tự động hóa
Các nền tảng như n8n có đặc điểm là các node được liên kết chặt chẽ và workflow có thể mở rộng. Điều này khiến một lỗi đơn lẻ có thể khuếch đại thành mối đe dọa mạng lớn hơn nhiều so với bề mặt ban đầu.
Khi quyền truy cập thấp đã đủ để kích hoạt khai thác, hệ thống có thể chuyển từ chỉnh sửa workflow bình thường sang chiếm quyền điều khiển máy chủ trong thời gian rất ngắn. Vì vậy, lỗ hổng CVE lần này cần được xem là ưu tiên xử lý cao trong các môi trường phụ thuộc vào tự động hóa.
Đây là trường hợp điển hình cho thấy bản vá bảo mật phải được triển khai nhanh, đặc biệt khi lỗ hổng nằm ở các node lõi và có thể tác động đồng thời đến tính bí mật, toàn vẹn và tính sẵn sàng của hệ thống.
IOC và dấu hiệu nhận biết
Không có IOC cụ thể như hash, domain, IP, tên mã độc hay chuỗi khai thác được cung cấp trong nội dung gốc. Do đó, việc phát hiện cần dựa vào kiểm tra phiên bản, quyền chỉnh sửa workflow và hoạt động bất thường của các node liên quan.
- CVE-2026-44789 – Prototype pollution qua HTTP Request node.
- CVE-2026-44790 – Argument injection qua Git node.
- CVE-2026-44791 – Patch bypass trong XML node.
- Phiên bản ảnh hưởng – n8n dưới 1.123.43, 2.20.7, 2.22.1.
- Biện pháp tạm thời – Giới hạn quyền chỉnh sửa workflow, sử dụng NODES_EXCLUDE cho node bị ảnh hưởng.
Kiểm tra và ưu tiên xử lý
Các tổ chức đang vận hành n8n nên rà soát ngay phiên bản đang dùng, quyền truy cập workflow và mức độ phụ thuộc vào các node HTTP Request, Git và XML. Với cảnh báo CVE ở mức Critical, việc chậm cập nhật có thể dẫn đến hệ thống bị xâm nhập và làm lộ thông tin nhạy cảm.
Nếu cần theo dõi thêm thông tin kỹ thuật, có thể đối chiếu trên GitHub Security Advisory và NVD để xác minh trạng thái vá lỗi, mức độ ảnh hưởng và các tham chiếu lỗ hổng CVE tương ứng.
