CVE-2026-27577, CVE-2026-27493: n8n vá lỗi
Các nhà nghiên cứu đã công bố chi tiết về hai lỗ hổng đáng chú ý trong n8n là CVE-2026-27577 và CVE-2026-27493. Cả hai đều đã được vá, nhưng trong kịch bản phù hợp chúng có thể bị lợi dụng để thực thi lệnh trên máy chủ n8n, ảnh hưởng tới cả môi trường self-hosted lẫn cloud.
Tổng quan hai lỗ hổng
n8n đã vá hai lỗ hổng đáng chú ý là CVE-2026-27577 và CVE-2026-27493. CVE-2026-27577 là lỗi thoát sandbox trong cơ chế đánh giá biểu thức, cho phép người dùng đã xác thực và có quyền tạo hoặc sửa workflow kích hoạt thực thi lệnh hệ thống ngoài ý muốn trên máy chủ. CVE-2026-27493 nằm ở các Form node và cho phép chèn, đánh giá biểu thức n8n thông qua dữ liệu biểu mẫu được gửi từ bên ngoài.
Kịch bản khai thác và khả năng xâu chuỗi
Theo mô tả từ NVD, CVE-2026-27493 chỉ khai thác được khi workflow thỏa một số điều kiện khá cụ thể, nhưng nếu bị xâu chuỗi với lỗi thoát sandbox như CVE-2026-27577 thì có thể leo thang thành thực thi mã từ xa trên host n8n.
Phiên bản ảnh hưởng và bản vá
Các bản bị ảnh hưởng gồm nhánh dưới 1.123.22, từ 2.0.0 đến dưới 2.9.3, và từ 2.10.0 đến dưới 2.10.1. Bản vá đã có trong 1.123.22, 2.9.3 và 2.10.1.
Rủi ro với dữ liệu nhạy cảm trong n8n
Rủi ro lớn nhất không chỉ là chiếm quyền chạy lệnh mà còn nằm ở dữ liệu bí mật mà n8n giữ bên trong hệ thống. The Hacker News dẫn thông tin từ Pillar Security cho biết kẻ tấn công có thể đọc biến môi trường N8N_ENCRYPTION_KEY để giải mã các thông tin xác thực đã lưu, như khóa AWS, mật khẩu cơ sở dữ liệu, token OAuth và khóa API.
Giảm thiểu và khuyến nghị
- Ưu tiên cập nhật lên các bản đã vá: 1.123.22, 2.9.3 và 2.10.1 (hoặc mới hơn).
- Với hệ thống chưa thể vá ngay: giới hạn quyền tạo và chỉnh sửa workflow cho người dùng thực sự tin cậy, đồng thời triển khai máy chủ trong môi trường được siết quyền hệ điều hành và truy cập mạng.
- Riêng với CVE-2026-27493: rà soát lại cách dùng Form node và có thể tạm vô hiệu hóa form hoặc form trigger qua biến NODES_EXCLUDE để giảm rủi ro ngắn hạn.
Các lỗi khác trong cùng đợt vá
Cùng đợt vá này, n8n cũng xử lý thêm CVE-2026-27495 trong JavaScript Task Runner và CVE-2026-27497 ở chế độ truy vấn SQL của Merge node, đều có thể bị lợi dụng để thực thi mã tùy ý nếu kẻ tấn công có quyền tạo hoặc sửa workflow. Biện pháp giảm thiểu tạm thời được n8n nêu ra là dùng external runner mode cho CVE-2026-27495 và vô hiệu hóa Merge node cho CVE-2026-27497.
