พบช่องโหว่ Critical บน n8n กระทบ Instance กว่าแสนเครื่องทั่วโลก

พบช่องโหว่ร้ายแรงระดับ CVSS 9.9 บน n8n แพลตฟอร์ม workflow automation ยอดนิยม ทำให้ผู้โจมตีสามารถรันโค้ดอันตรายได้ภายใต้สิทธิ์ของ process ได้ กระทบ Instance กว่าแสนเครื่องทั่วโลก

Credit: ShutterStock.com

ทีมพัฒนา n8n ออกประกาศเตือนเกี่ยวกับช่องโหว่ Critical CVE-2025-68613 ที่พบบนแพลตฟอร์ม workflow automation ยอดนิยม โดยช่องโหว่นี้มีค่า CVSS score สูงถึง 9.9 จาก 10 คะแนน ส่งผลให้ผู้โจมตีที่ผ่านการ authenticate แล้วสามารถรันโค้ดอันตรายบนระบบได้ โดย n8n เป็น package ที่มียอดดาวน์โหลดบน npm ประมาณ 57,000 ครั้งต่อสัปดาห์

ช่องโหว่นี้เกิดจากการที่ expressions ที่ผู้ใช้งานส่งเข้ามาระหว่างการตั้งค่า workflow อาจถูก evaluate ใน execution context ที่ไม่ได้ถูก isolate อย่างเพียงพอจาก runtime ทำให้ผู้โจมตีสามารถใช้ช่องโหว่นี้ในการรันโค้ดอันตรายด้วยสิทธิ์เดียวกับ n8n process ซึ่งอาจส่งผลให้เกิดการยึดครองระบบทั้งหมด เข้าถึงข้อมูลสำคัญโดยไม่ได้รับอนุญาต แก้ไข workflows และรันคำสั่งในระดับ system ได้

ช่องโหว่นี้ส่งผลกระทบต่อ n8n ตั้งแต่ version 0.211.0 ขึ้นไปจนถึง version ต่ำกว่า 1.120.4 จากข้อมูลของ Censys พบว่ามี instance ที่อาจได้รับผลกระทบมากกว่า 103,000 เครื่องทั่วโลก ณ วันที่ 22 ธันวาคม 2025 โดยส่วนใหญ่อยู่ในสหรัฐอเมริกา เยอรมนี ฝรั่งเศส บราซิล และสิงคโปร์

ปัจจุบันทีมพัฒนาได้ปล่อยแพตช์แก้ไขแล้วใน version 1.120.4, 1.121.1 และ 1.122.0 แนะนำให้ผู้ดูแลระบบอัปเดตโดยด่วน สำหรับองค์กรที่ยังไม่สามารถอัปเดตได้ทันที ควรจำกัดสิทธิ์การสร้างและแก้ไข workflow เฉพาะผู้ใช้งานที่เชื่อถือได้ และติดตั้ง n8n ในสภาพแวดล้อมที่มีการควบคุมสิทธิ์ระบบปฏิบัติการและ network อย่างเข้มงวด

ที่มา: https://thehackernews.com/2025/12/critical-n8n-flaw-cvss-99-enables.html

About เด็กฝึกงาน TechTalkThai หมายเลข 1

นักเขียนผู้มีความสนใจใน Enterprise IT ด้วยประสบการณ์กว่า 10 ปีในไทย ปัจจุบันใช้ชีวิตอยู่ที่สหรัฐอเมริกา แต่ยังคงมุ่งมั่นในการแบ่งปันความรู้และประสบการณ์ด้านเทคโนโลยีให้กับทุกคน

Check Also

[Video] WatchGuard Webinar : Zero Trust Made Simple

ในอดีต การวางระบบ Zero Trust Architecture มักถูกมองว่าเป็น ‘ยาขม’ ของฝ่ายไอทีและองค์กรจำนวนมาก เพราะแนวคิดที่ต้อง ‘ไม่เชื่อใจใคร และต้องตรวจสอบเสมอ’ นั้น มักตามมาด้วยความซับซ้อนยุ่งเหยิงในการบริหารจัดการ ในงาน WatchGuard Webinar ครั้งนี้ท่านจะได้รับชมกับแนวทางที่ทำให้ Zero Trust …

ActiveMedia ขอเชิญเข้าฟัง Webinar “Next-Generation Data Protection for Your Business” 23 ก.ค. เวลา 14:00 น.

องค์กรของคุณพร้อมรับมือกับความท้าทายด้านข้อมูลในยุคดิจิทัลแล้วหรือยัง?