Lỗ hổng n8n CVE-2025-68613

Lỗ hổng n8n CVE-2025-68613

Bạn đang sử dụng n8n automation để tối ưu hóa quy trình kinh doanh nhưng liệu hệ thống của bạn có thực sự an toàn? Mới đây, một lỗ hổng bảo mật cực kỳ nghiêm trọng mang mã hiệu CVE-2025-68613 đã được phát hiện, đe dọa hơn 103,000 thực thể n8n trên toàn cầu. Lỗ hổng thực thi mã từ xa (RCE) này cho phép kẻ tấn công chiếm toàn quyền kiểm soát máy chủ, đánh cắp thông tin nhạy cảm và phá hủy dữ liệu chỉ thông qua một biểu thức JavaScript độc hại. Bài viết này sẽ cung cấp cái nhìn chuyên sâu và giải pháp khắc phục triệt để cho doanh nghiệp của bạn.

CVE-2025-68613 là gì? Tại sao n8n automation lại đứng trước rủi ro?

Lỗ hổng CVE-2025-68613 được đánh giá với mức điểm nghiêm trọng CVSS 9.9/10, phản ánh mức độ nguy hiểm và khả năng khai thác dễ dàng. Vấn đề nằm ở hệ thống đánh giá biểu thức (expression evaluation) của n8n, nơi các đoạn code nằm trong dấu ngoặc kép {{ }} không được cách ly đủ an toàn khỏi môi trường runtime bên dưới.

Kẻ tấn công sau khi xác thực (ngay cả với quyền thấp) có thể chèn các biểu thức JavaScript đặc biệt để thoát khỏi “hộp cát” (sandbox) của Node.js. Từ đó, chúng có thể truy cập vào các module hệ thống như child_process để thực thi các lệnh trực tiếp trên hệ điều hành của máy chủ.

Khởi đầu website của bạn thật mạnh mẽ, mượt mà với hệ thống hosting cấu hình cao cấp tại AZDIGI.

image 104

Phân tích quy mô ảnh hưởng: 103,000 hệ thống đang “mở cửa”

Dữ liệu quét từ Censys đã xác định được ít nhất 103,476 thực thể n8n đang công khai trên internet có nguy cơ bị tấn công. Đây là một con số báo động, đặc biệt khi n8n thường nắm giữ các “chìa khóa” quan trọng như API Key, thông tin khách hàng và quyền truy cập vào các cơ sở dữ liệu nội bộ.

Các phiên bản bị ảnh hưởng

Lỗ hổng này tác động diện rộng đến hầu hết các phiên bản n8n đang hoạt động phổ biến hiện nay:

Trạng tháiPhiên bản n8nMức độ rủi ro
Bị ảnh hưởngTừ 0.211.0 đến dưới 1.120.4, 1.121.1, và 1.122.0Cực kỳ cao
Đã vá lỗi1.120.4, 1.121.1, 1.122.0 trở lênAn toàn

n8n và AI Orchestration: Hiệu quả đi kèm rủi ro

Trên thực tế, n8n automation là một công cụ cực kỳ mạnh mẽ. Các nghiên cứu cho thấy việc sử dụng n8n kết hợp với LLM (như GPT-4, Gemini) giúp giảm 60-70% thời gian phát triển so với các phương pháp lập trình truyền thống như Node.js hay Python.

Tuy nhiên, sự phụ thuộc ngày càng tăng vào các nền tảng low-code để quản lý dữ liệu nhạy cảm khiến chúng trở thành mục tiêu hàng đầu của tin tặc. Nếu một thực thể n8n bị xâm nhập, “bán kính vụ nổ” (blast radius) sẽ không chỉ dừng lại ở công cụ tự động hóa mà lan rộng ra toàn bộ hệ thống downstream kết nối với nó.

Hướng dẫn khắc phục và bảo mật n8n automation triệt để

Là một chuyên gia bảo mật, tôi khuyến nghị bạn thực hiện ngay các bước sau để bảo vệ tài sản số của doanh nghiệp:

  • Cập nhật ngay lập tức: Nâng cấp n8n lên phiên bản 1.122.0 hoặc mới hơn. Đây là biện pháp duy nhất giải quyết tận gốc vấn đề bằng cách thắt chặt các lớp bảo vệ trong đánh giá biểu thức.
  • Hạn chế quyền hạn: Chỉ cho phép những người dùng thực sự tin cậy có quyền tạo hoặc chỉnh sửa workflow.
  • Triển khai Zero Trust: Không nên để máy chủ n8n tiếp xúc trực tiếp với internet công cộng nếu không cần thiết. Hãy sử dụng VPN hoặc các giải pháp mạng nội bộ bị cô lập.
  • Chạy với quyền tối thiểu: Cấu hình để n8n chạy dưới quyền người dùng không có quyền root (non-root) để hạn chế khả năng can thiệp vào file hệ thống nếu bị tấn công.
  • Giám sát nhật ký (Logs): Kiểm tra kỹ các log ứng dụng để tìm kiếm các dấu hiệu thực thi lệnh lạ hoặc các thay đổi workflow bất thường.
image 105

Lời kết

n8n automation mang lại lợi thế cạnh tranh khổng lồ về tốc độ và hiệu suất, nhưng lỗ hổng CVE-2025-68613 là lời nhắc nhở rằng bảo mật không bao giờ được phép đi sau tính năng. Việc chủ động vá lỗi ngay hôm nay không chỉ bảo vệ dữ liệu mà còn khẳng định sự chuyên nghiệp trong quản trị hệ thống của doanh nghiệp bạn.

Hãy kiểm tra phiên bản n8n của bạn ngay bây giờ và cập nhật để đảm bảo an toàn!

FAQ – Các câu hỏi thường gặp về lỗ hổng n8n

Tôi có thể bị tấn công nếu không mở n8n ra internet công cộng không?

Có, lỗ hổng có thể bị khai thác bởi các đối tượng có quyền truy cập nội bộ (insider threats) hoặc thông qua việc chiếm đoạt tài khoản của người dùng có quyền chỉnh sửa workflow

Tôi không thể cập nhật n8n ngay bây giờ, có cách nào giảm thiểu rủi ro tạm thời không?

Bạn có thể tạm thời hạn chế quyền chỉnh sửa workflow của tất cả người dùng không phải admin và đặt n8n trong môi trường mạng được cô lập (hardened environment) với quyền truy cập hệ điều hành cực thấp.

Làm thế nào để kiểm tra xem hệ thống của tôi đã bị khai thác chưa?

Hãy kiểm tra nhật ký hệ thống để tìm các lệnh lạ như whoami, id hoặc các kết nối outbound không xác định từ máy chủ n8n. Ngoài ra, hãy rà soát lại tất cả các workflow xem có sự thay đổi bất thường nào không.

Tại sao điểm CVSS của lỗ hổng này lại lên tới 9.9?

Vì lỗ hổng này cực kỳ dễ khai thác (AC:L), không cần quyền quản trị (PR:L) và có tác động toàn diện đến tính bảo mật, toàn vẹn và sẵn sàng của hệ thống (C:H/I:H/A:H).

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

For security, use of CloudFlare's Turnstile service is required which is subject to the CloudFlare Privacy Policy and Terms of Use.

scroll to top