Theo báo cáo của các chuyên gia an ninh mạng trong tháng 1/2026. Nguyên nhân dẫn đến sự cố bảo mật là do sự nhầm lẫn về loại nội dung trong cách n8n phân tích dữ liệu. Hậu quả hacker có thể vượt qua quá trình phân tích cú pháp của n8n cho phép đọc các tệp tùy ý từ một phiên bản n8n, từ đó làm lộ thông tin bằng cách thêm các tệp nội bộ vào cơ sở tri thức của workflow. Điểm yếu này có thể bị lạm dụng để rò rỉ các thông tin bí mật được lưu trữ trên máy chủ, chèn các tệp tin nhạy cảm vào workflow, giả mạo phiên cookie để vượt qua xác thực hoặc thậm chí thực thi các lệnh tùy ý.


Từ khả năng đọc file tùy ý, kẻ tấn công có thể từng bước leo thang đặc quyền. Một kịch bản điển hình là đọc cơ sở dữ liệu n8n để trích xuất thông tin quản trị, tiếp đó lấy khóa mã hóa từ file cấu hình, giả mạo cookie phiên đăng nhập để vượt qua xác thực, và cuối cùng tạo workflow độc hại với node Execute Command nhằm đạt được RCE hoàn chỉnh. Khi đó, toàn bộ n8n trở thành “mỏ vàng” cho attacker, bởi mọi API key, OAuth token, kết nối database và tài nguyên đám mây đều được tập trung tại đây. Lỗ hổng này ảnh hưởng đến tất cả các phiên bản n8n từ 1.65.0 trở về trước và đã được khắc phục trong phiên bản 1.121.0.
Các chuyên gia an ninh mạng khuyến cáo người dùng nâng cấp hệ thống ngay lập tức, tránh công khai n8n ra Internet, bắt buộc xác thực cho mọi form, đồng thời hạn chế hoặc vô hiệu hóa các webhook và endpoint form công khai cho đến khi hệ thống được vá hoàn toàn để đảm bảo an toàn trước nguy cơ bị tấn công.