Lỗ hổng bảo mật trong n8n cho phép kẻ tấn công mạo danh người dùng
Nền tảng tự động hóa quy trình n8n vừa ghi nhận lỗ hổng CVE-2026-59208, cho phép kẻ tấn công đăng nhập trái phép vào tài khoản người dùng khác thông qua cơ chế token...
Nền tảng tự động hóa quy trình n8n vừa phát đi cảnh báo về một lỗ hổng bảo mật nghiêm trọng (được định danh là CVE-2026-59208) liên quan đến cơ chế trao đổi token (token exchange). Lỗ hổng này có thể cho phép kẻ tấn công đăng nhập vào hệ thống dưới quyền của người dùng khác trong các môi trường Enterprise có cấu hình đặc thù.
Chi tiết về lỗ hổng
Vấn đề nằm ở cách n8n xử lý các JWT (JSON Web Token) từ nhiều nhà cung cấp (issuer) khác nhau. Trong các phiên bản bị ảnh hưởng, hệ thống chỉ xác thực dựa trên claim sub (subject) mà bỏ qua việc kiểm tra iss (issuer). Điều này dẫn đến tình trạng nếu hai nhà cung cấp khác nhau cùng phát hành một định danh sub trùng khớp, n8n sẽ hiểu nhầm và cấp quyền truy cập vào tài khoản của người dùng tương ứng.
Cơ chế token exchange vốn được thiết kế để hỗ trợ các đối tác OEM nhúng n8n mà không cần yêu cầu người dùng đăng nhập lại. Tuy nhiên, việc thiếu kiểm soát ràng buộc danh tính giữa iss và sub đã tạo ra kẽ hở cho phép thực hiện hành vi mạo danh.
Phạm vi ảnh hưởng và khuyến nghị
Lỗ hổng này chỉ ảnh hưởng đến các phiên bản n8n Enterprise có kích hoạt tính năng token exchange và cấu hình tin tưởng từ hai nhà cung cấp bên ngoài trở lên. Các phiên bản bị ảnh hưởng bao gồm tất cả các bản phát hành trước 2.27.4 và phiên bản 2.28.0.
Các bước xử lý khẩn cấp:
- Cập nhật phần mềm: Người dùng cần nâng cấp lên phiên bản 2.27.4, 2.28.1 hoặc các bản phát hành mới nhất để nhận bản vá.
- Giải pháp tạm thời: Nếu chưa thể cập nhật ngay lập tức, quản trị viên nên cân nhắc giới hạn cấu hình
N8N_TOKEN_EXCHANGE_TRUSTED_KEYSchỉ còn một nhà cung cấp duy nhất hoặc tạm thời vô hiệu hóa tính năng token exchange nếu không thực sự cần thiết.
Đáng chú ý, các ghi chú phát hành (changelog) của n8n không đề cập trực tiếp đến bản vá này, do đó người dùng cần theo dõi sát sao các thông báo bảo mật chính thức thay vì chỉ dựa vào nhật ký thay đổi thông thường.
Nguồn tham khảo: The Hacker News
No Comment! Be the first one.