TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
นักวิจัยด้านความปลอดภัยเปิดเผยช่องโหว่ Critical หลายรายการบนแพลตฟอร์ม n8n ที่เปิดให้ผู้โจมตีสามารถหลุดออกจาก sandbox และยึดเซิร์ฟเวอร์ได้อย่างสมบูรณ์
ช่องโหว่ดังกล่าวถูกติดตามในชื่อ CVE-2026-25049 โดยผู้ใช้งานที่ได้รับ authentication และมีสิทธิ์สร้างหรือแก้ไข workflow สามารถใช้ช่องโหว่นี้เพื่อรันคำสั่งบนเซิร์ฟเวอร์ได้โดยไม่มีข้อจำกัด ปัญหานี้เกิดจากกลไก sanitization ที่ไม่สมบูรณ์ และสามารถ bypass แพตช์ของช่องโหว่ CVE-2025-68613 ที่แก้ไขไปเมื่อวันที่ 20 ธันวาคมที่ผ่านมาได้ นักวิจัยด้านความปลอดภัยหลายรายค้นพบวิธี bypass และได้เผยแพร่ Proof-of-Concept (PoC) exploit ต่อสาธารณะแล้ว
การโจมตีช่องโหว่นี้สามารถส่งผลกระทบร้ายแรง ได้แก่ การรันคำสั่งบนเซิร์ฟเวอร์ได้ตามต้องการ, การขโมย credentials และ API keys ที่จัดเก็บไว้, การเข้าถึงไฟล์ระบบและระบบภายใน, การเจาะไปยัง cloud accounts ที่เชื่อมต่ออยู่ และการ hijack AI workflows เพื่อดักจับหรือแก้ไขข้อมูล เนื่องจาก n8n เป็นระบบ multi-tenant การเข้าถึง internal cluster services อาจทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลของ tenant อื่นได้อีกด้วย ปัญหาหลักมาจาก AST-based sandboxing ที่ไม่สมบูรณ์สำหรับ JavaScript expressions ใน workflows ซึ่งเปิดโอกาสให้เข้าถึง Node.js global object ได้
ผู้ดูแลระบบที่ใช้งาน n8n ควรอัปเดตไปยังเวอร์ชัน 1.123.17 หรือ 2.5.2 โดยเร็วที่สุด นอกจากนี้ควร rotate ค่า N8N_ENCRYPTION_KEY และ credentials ทั้งหมดที่จัดเก็บบนเซิร์ฟเวอร์ รวมถึงตรวจสอบ workflows ว่ามี expressions ที่น่าสงสัยหรือไม่ สำหรับผู้ที่ยังไม่สามารถอัปเดตได้ ให้จำกัดสิทธิ์การสร้างและแก้ไข workflow เฉพาะผู้ใช้งานที่เชื่อถือได้เท่านั้น และควรติดตั้ง n8n ในสภาพแวดล้อมที่มีการจำกัดสิทธิ์ระบบปฏิบัติการและการเข้าถึงเครือข่าย แม้ยังไม่มีรายงานการโจมตีจริงสำหรับ CVE-2026-25049 แต่มีรายงานพบกิจกรรมที่อาจเป็นอันตรายกว่า 33,000 requests ที่กำลังสแกนหา n8n endpoints ที่มีช่องโหว่ในช่วงสัปดาห์ที่ผ่านมา
