Ni8mare: Lỗ hổng nghiêm trọng khiến hơn 100.000 hệ thống n8n có nguy cơ bị chiếm quyền

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
123
1.499 bài viết
Ni8mare: Lỗ hổng nghiêm trọng khiến hơn 100.000 hệ thống n8n có nguy cơ bị chiếm quyền
WhiteHat Team
Hơn 100.000 hệ thống n8n đang vận hành trên Internet được phát hiện tồn tại lỗ hổng nghiêm trọng, cho phép tin tặc thực hiện tấn công thực thi mã từ xa (RCE), theo cảnh báo do Shadowserver Foundation công bố ngày 9/1/2026. Phát hiện này gióng lên hồi chuông báo động về mức độ an toàn của các nền tảng tự động hóa quy trình đang được nhiều tổ chức, doanh nghiệp sử dụng.
n8n.png

Theo Shadowserver, trong tổng số 230.562 địa chỉ IP được ghi nhận đang chạy n8n, có khoảng 105.000 hệ thống tương đương với 46% đang được cấu hình truy cập trực tiếp từ Internet và có nguy cơ bị khai thác mà không cần xác thực. Lỗ hổng được định danh là CVE-2026-21858, còn được gọi với tên Ni8mare và có điểm CVSS 10.0, mức cao nhất trong thang đánh giá mức độ nghiêm trọng của lỗ hổng bảo mật.

CVE-2026-21858 cho phép kẻ tấn công từ xa thực thi mã tùy ý trên máy chủ n8n bị ảnh hưởng. Trong thực tế triển khai, n8n thường giữ vai trò trung tâm trong việc tự động hóa quy trình, kết nối nhiều hệ thống và dịch vụ khác nhau, đồng thời lưu trữ các thông tin nhạy cảm như khóa API, thông tin xác thực và dữ liệu vận hành. Khi máy chủ n8n bị kiểm soát, toàn bộ hệ sinh thái kết nối phía sau cũng đứng trước nguy cơ bị xâm nhập.

Phân tích kỹ thuật cho thấy nguyên nhân của CVE-2026-21858 xuất phát từ cơ chế xử lý webhook và dữ liệu tải lên trong n8n. Khi tiếp nhận yêu cầu HTTP, hệ thống dựa vào header Content-Type để xác định cách xử lý dữ liệu, tuy nhiên một số thành phần xử lý tệp trong workflow lại không kiểm tra đầy đủ giá trị này trước khi thao tác. Lỗ hổng cho phép kẻ tấn công kiểm soát thông tin liên quan tới tệp tin và chỉ định đường dẫn tùy ý trên hệ thống, biến chức năng upload thành một cơ chế đọc tệp cục bộ trái phép.

Nguy cơ không chỉ dừng lại ở việc chiếm quyền điều khiển một máy chủ đơn lẻ. Một hệ thống n8n bị xâm nhập có thể trở thành điểm khởi đầu cho các hoạt động xâm nhập sâu hơn, di chuyển ngang trong mạng nội bộ, từ đó dẫn tới đánh cắp dữ liệu, phá hoại hệ thống hoặc triển khai mã độc trên quy mô lớn. Các tổ chức cần chủ động rà soát các hệ thống n8n đang vận hành, đặc biệt là những máy chủ cho phép truy cập trực tiếp từ Internet. Việc kiểm tra dải IP, cấu hình dịch vụ và nhật ký truy cập sẽ giúp sớm phát hiện các hệ thống có nguy cơ bị khai thác, từ đó kịp thời triển khai biện pháp khắc phục.

Bên cạnh việc rà soát lại mô hình triển khai n8n, chuyên gia WhiteHat khuyến nghị doanh nghiệp cập nhật đầy đủ các bản vá bảo mật do nhà phát triển phát hành, ttăng cường giám sát nhật ký truy cập nhằm phát hiện dấu hiệu bất thường, đồng thời hạn chế tối đa việc cho phép hệ thống n8n truy cập trực tiếp từ Internet thông qua các biện pháp như tường lửa hoặc phân tách mạng.​

Tổng hợp
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • Lỗ hổng trong OpenCode cho phép thực thi mã từ xa chỉ bằng một lần truy cập website
  • Fortinet vá loạt lỗ hổng thực thi mã từ xa và rò rỉ cấu hình nghiêm trọng
  • Chỉ một cú nhấp chuột, người dùng Telegram có thể bị lộ địa chỉ IP thật
  • Hàng loạt website đối mặt nguy cơ bị chiếm quyền khi PoC lỗ hổng Atarim được công bố
  • Tấn công chuỗi cung ứng nhắm vào n8n, lợi dụng community node đánh cắp token OAuth
  • Thoát khỏi máy ảo, chiếm luôn máy chủ: Lỗ hổng zero-day VMware ESXi bị khai thác
    • Thẻ
    cve-2026-21858 n8n ni8mare
    Bên trên