CVE-2026-21877: Lỗ hổng 10.0 CVSS báo động đỏ nền tảng n8n
CVE-2026-21877: Lỗ hổng 10.0 CVSS báo động đỏ nền tảng n8n
Nền tảng tự động hóa n8n vừa chính thức phát lệnh báo động đỏ về lỗ hổng bảo mật CVE-2026-21877 đạt điểm tuyệt đối 10.0 trên thang đo CVSS. Sự cố nghiêm trọng này cho phép người dùng đã xác thực thực thi mã từ xa (RCE), mở đường cho tin tặc chiếm quyền kiểm soát hoàn toàn các instance bị ảnh hưởng trên cả môi trường Cloud và Self-hosted.
Theo thông tin từ đội ngũ phát triển, lỗ hổng này cho phép người dùng đã qua bước xác thực có thể kích hoạt việc thực thi các đoạn mã không tin cậy trực tiếp trên dịch vụ n8n. Khi khai thác thành công, hacker có thể thao túng toàn bộ dữ liệu nhạy cảm và các quy trình tự động hóa cốt lõi của doanh nghiệp.
Điểm đáng lo ngại nhất là CVE-2026-21877 không chỉ đe dọa các hệ thống self-host mà còn tác động trực tiếp đến nền tảng n8n Cloud. Lỗ hổng này ảnh hưởng đến các phiên bản n8n từ 0.123.0 đến dưới 1.121.3.
Lỗi này đã được khắc phục trong phiên bản 1.121.3, phát hành vào tháng 11 năm 2025. Nhà nghiên cứu bảo mật Théo Lelasseux (@theolelasseux) được ghi nhận là người phát hiện và báo cáo lỗ hổng này.
Để bảo vệ hạ tầng công nghệ trước nguy cơ bị xâm nhập, n8n đã phát hành bản vá chính thức trong phiên bản 1.121.3. Các chuyên gia khuyến cáo người dùng cần tiến hành nâng cấp ngay lập tức để loại bỏ lỗ hổng. Trong trường hợp chưa thể cập nhật ngay, quản trị viên hệ thống được yêu cầu thực hiện khẩn cấp các biện pháp giảm thiểu:
- Thực hiện vô hiệu hóa Git node nhằm đóng bớt một trong những vector tấn công tiềm tàng.
- Giới hạn tối đa quyền hạn và khả năng tiếp cận của các tài khoản người dùng chưa thực sự tin cậy.
Vụ việc này diễn ra trong bối cảnh n8n liên tục phải đối mặt với một chuỗi lỗ hổng nghiêm trọng được công bố gần đây, điển hình như CVE-2025-68613 và CVE-2025-68668 (điểm 9.9 CVSS). Việc xuất hiện một lỗi đạt điểm 10 tuyệt đối cho thấy các nền tảng tự động hóa quy trình đang trở thành mục tiêu ưu tiên của tội phạm mạng, đòi hỏi tổ chức duy trì giám sát an ninh chặt chẽ và cơ chế vá lỗi tức thì để bảo đảm an toàn chuỗi cung ứng phần mềm.