CVE-2026-25049 ភាពងាយរងគ្រោះ n8n
ចំណុចខ្សោយសុវត្ថិភាពដែលទើបបង្ហាញថ្មីនៅក្នុងវេទិកាស្វ័យប្រវត្តិកម្មលំហូរការងារ n8n អនុញ្ញាតឱ្យមានការប្រតិបត្តិពាក្យបញ្ជាប្រព័ន្ធដោយបំពានក្រោមលក្ខខណ្ឌជាក់លាក់។ ចំណុចខ្សោយនេះត្រូវបានតាមដានថាជា CVE-2026-25049 និងមានពិន្ទុ CVSS 9.4 ដែលឆ្លុះបញ្ចាំងពីភាពធ្ងន់ធ្ងររបស់វា។ ប្រសិនបើវាត្រូវបានកេងប្រវ័ញ្ចដោយជោគជ័យ បញ្ហានេះអាចឱ្យអ្នកវាយប្រហារប្រតិបត្តិពាក្យបញ្ជាកម្រិតប្រព័ន្ធនៅលើម៉ាស៊ីនមេដែលបង្ហោះ n8n។
តារាងមាតិកា
ការរំលងចំណុចខ្សោយដែលត្រូវបានជួសជុលពីមុន
CVE-2026-25049 កើតចេញពីការសម្អាតមិនគ្រប់គ្រាន់ដែលរំលងការការពារដែលបានណែនាំដើម្បីជួសជុល CVE-2025-68613 (CVSS 9.9) ដែលជាចំណុចខ្សោយដ៏សំខាន់មួយដែលត្រូវបានជួសជុលនៅក្នុងខែធ្នូ ឆ្នាំ 2025។ ការវិភាគជាបន្តបន្ទាប់បានបង្ហាញថា CVE ថ្មីជាងនេះគឺជាការរំលងការជួសជុលដើមជាជាងបញ្ហាដាច់ដោយឡែកទាំងស្រុង។ អ្នកស្រាវជ្រាវបានបង្ហាញថា ចំណុចខ្សោយទាំងពីរអនុញ្ញាតឱ្យអ្នកវាយប្រហារគេចផុតពីប្រអប់ខ្សាច់បញ្ចេញមតិរបស់ n8n និងគេចវេះការត្រួតពិនិត្យសុវត្ថិភាពដែលមានស្រាប់។ បន្ទាប់ពីការបង្ហាញមុននេះ ចំណុចខ្សោយបន្ថែមនៅក្នុងការវាយតម្លៃការបញ្ចេញមតិក៏ត្រូវបានកំណត់អត្តសញ្ញាណ និងដោះស្រាយផងដែរ។
តម្រូវការជាមុនសម្រាប់ការវាយប្រហារ និងយន្តការកេងប្រវ័ញ្ច
អ្នកប្រើប្រាស់ដែលមានការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវណាមួយដែលមានការអនុញ្ញាតឱ្យបង្កើត ឬកែប្រែលំហូរការងារអាចទាញយកប្រយោជន៍ពីភាពងាយរងគ្រោះនេះ។ តាមរយៈការចាក់បញ្ចូលកន្សោមដែលបានបង្កើតទៅក្នុងប៉ារ៉ាម៉ែត្រលំហូរការងារ វាអាចបង្កឱ្យមានការប្រតិបត្តិពាក្យបញ្ជាប្រព័ន្ធដែលមិនបានគ្រោងទុក។ សេណារីយ៉ូដ៏គ្រោះថ្នាក់ជាពិសេសពាក់ព័ន្ធនឹងការបង្កើតលំហូរការងារដែលបង្ហាញ webhook ដែលអាចចូលប្រើបានជាសាធារណៈដោយគ្មានការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ។ តាមរយៈការបង្កប់ JavaScript មួយជួរតែមួយដោយប្រើវាក្យសម្ព័ន្ធបំផ្លាញ អ្នកវាយប្រហារអាចបណ្តាលឱ្យលំហូរការងារប្រតិបត្តិពាក្យបញ្ជាប្រព័ន្ធ។ នៅពេលដែលលំហូរការងារបែបនេះត្រូវបានធ្វើឱ្យសកម្ម ភាគីខាងក្រៅណាមួយអាចបង្កឱ្យមាន webhook និងប្រតិបត្តិពាក្យបញ្ជាពីចម្ងាយ។
ភាពធ្ងន់ធ្ងរកាន់តែធ្ងន់ធ្ងរឡើងៗ នៅពេលដែលផ្សំជាមួយមុខងារ webhook របស់ n8n ដែលអនុញ្ញាតឱ្យលំហូរការងារដែលមានគំនិតអាក្រក់ត្រូវបានលាតត្រដាងជាសាធារណៈ។ ក្នុងករណីបែបនេះ ការកេងប្រវ័ញ្ចមិនតម្រូវឱ្យមានសិទ្ធិខ្ពស់លើសពីការបង្កើតលំហូរការងារនោះទេ ដោយគូសបញ្ជាក់ពីហានិភ័យដែលសង្ខេបដោយអ្នកស្រាវជ្រាវថា៖ ប្រសិនបើការបង្កើតលំហូរការងារត្រូវបានអនុញ្ញាត ការសម្របសម្រួលម៉ាស៊ីនមេពេញលេញអាចសម្រេចបាន។
មូលហេតុចម្បង៖ ចន្លោះប្រហោងនៃការអនុវត្តប្រភេទ និងការរំលោភបំពានពេលដំណើរការ
ភាពងាយរងគ្រោះនេះកើតឡើងពីចន្លោះប្រហោងនៅក្នុងយន្តការសម្អាតរបស់ n8n និងភាពមិនស៊ីគ្នាជាមូលដ្ឋានរវាងប្រព័ន្ធប្រភេទពេលវេលាចងក្រងរបស់ TypeScript និងឥរិយាបថពេលដំណើរការរបស់ JavaScript។ ខណៈពេលដែល TypeScript អនុវត្តការរឹតបន្តឹងប្រភេទក្នុងអំឡុងពេលចងក្រង វាមិនអាចធានាការរឹតបន្តឹងទាំងនេះសម្រាប់តម្លៃដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារដែលបានណែនាំនៅពេលដំណើរការនោះទេ។ តាមរយៈការផ្គត់ផ្គង់តម្លៃដែលមិនមែនជាខ្សែអក្សរដូចជាវត្ថុ ឬអារេ អ្នកវាយប្រហារអាចរំលងតក្កវិជ្ជាសម្អាតដែលសន្មតថាការបញ្ចូលខ្សែអក្សរតែប៉ុណ្ណោះ ដោយធ្វើឱ្យការគ្រប់គ្រងសុវត្ថិភាពសំខាន់ៗអព្យាក្រឹត។
ផលប៉ះពាល់ដែលអាចកើតមានលើប្រព័ន្ធ និងទិន្នន័យ
ការកេងប្រវ័ញ្ចដោយជោគជ័យអាចនាំឱ្យមានការសម្របសម្រួលម៉ាស៊ីនមេទាំងស្រុង។ អ្នកវាយប្រហារអាចលួចយកព័ត៌មានសម្ងាត់ លួចយកទិន្នន័យរសើប ចូលប្រើប្រព័ន្ធឯកសារ និងសេវាកម្មផ្ទៃក្នុង បង្វែរទៅបរិស្ថានពពកដែលបានភ្ជាប់ និងប្លន់យកលំហូរការងារបញ្ញាសិប្បនិម្មិត។ សមត្ថភាពក្នុងការដំឡើងទ្វារក្រោយជាប់លាប់បង្កើនហានិភ័យនៃការចូលប្រើសម្ងាត់រយៈពេលវែងបន្ថែមទៀត។
កំណែដែលរងផលប៉ះពាល់ និងការណែនាំអំពីការកាត់បន្ថយ
ចំណុចខ្សោយនេះប៉ះពាល់ដល់កំណែ n8n មុនការចេញផ្សាយដែលបានជួសជុល ហើយត្រូវបានរកឃើញជាមួយនឹងការចូលរួមពីអ្នកស្រាវជ្រាវសុវត្ថិភាពឯករាជ្យចំនួនដប់នាក់។ កំណែខាងក្រោមត្រូវបានរងផលប៉ះពាល់ រួមជាមួយនឹងការកាត់បន្ថយបណ្តោះអាសន្នដែលបានណែនាំ នៅពេលដែលការជួសជុលជាបន្ទាន់មិនអាចធ្វើទៅបាន៖
កំណែដែលរងផលប៉ះពាល់៖ កំណែ n8n មុន 1.123.17 និង 2.5.2 ដែលការជួសជុលត្រូវបានចេញផ្សាយ។
ការកាត់បន្ថយដែលបានណែនាំ៖ ដាក់កម្រិតការបង្កើត និងការកែសម្រួលលំហូរការងារចំពោះអ្នកប្រើប្រាស់ដែលទុកចិត្តទាំងស្រុង និងដាក់ពង្រាយ n8n នៅក្នុងបរិយាកាសរឹងរូសជាមួយនឹងសិទ្ធិប្រព័ន្ធប្រតិបត្តិការដែលមានការរឹតបន្តឹង និងការចូលប្រើបណ្តាញមានកំណត់។
បញ្ហានេះបង្ហាញពីភាពចាំបាច់នៃយុទ្ធសាស្ត្រផ្ទៀងផ្ទាត់ជាស្រទាប់ៗ។ ការធានាពេលវេលាចងក្រងត្រូវតែបំពេញបន្ថែមដោយការត្រួតពិនិត្យពេលដំណើរការយ៉ាងតឹងរ៉ឹង ជាពិសេសនៅពេលដោះស្រាយការបញ្ចូលដែលមិនគួរឱ្យទុកចិត្ត។ ការពិនិត្យឡើងវិញនូវលេខកូដគួរតែផ្តោតលើទម្លាប់សម្អាត និងជៀសវាងការសន្មត់អំពីប្រភេទបញ្ចូលដែលមិនត្រូវបានអនុវត្តនៅពេលដំណើរការ។
ភាពងាយរងគ្រោះបន្ថែម n8n កម្រិតខ្ពស់
រួមជាមួយ CVE-2026-25049, n8n បានចេញផ្សាយការណែនាំសម្រាប់ចំណុចខ្វះខាតសុវត្ថិភាពបន្ថែមចំនួនបួន ដែលក្នុងនោះពីរត្រូវបានវាយតម្លៃថាមានសារៈសំខាន់៖
CVE-2026-25053 (CVSS 9.4) : ការចាក់ពាក្យបញ្ជាប្រព័ន្ធប្រតិបត្តិការនៅក្នុងណូត Git ដែលអនុញ្ញាតឱ្យអ្នកប្រើប្រាស់ដែលមានការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវជាមួយនឹងការអនុញ្ញាតលំហូរការងារអាចប្រតិបត្តិពាក្យបញ្ជា ឬអានឯកសារតាមអំពើចិត្ត។ ជួសជុលនៅក្នុងកំណែ 2.5.0 និង 1.123.10។
CVE-2026-25054 (CVSS 8.5) : ចំណុចខ្សោយនៃការសរសេរស្គ្រីបឆ្លងគេហទំព័រដែលបានរក្សាទុកនៅក្នុងសមាសភាគបង្ហាញសញ្ញាសម្គាល់ ដែលអាចឱ្យមានការប្រតិបត្តិស្គ្រីបជាមួយនឹងសិទ្ធិប្រភពដើមដូចគ្នា និងអាចគ្រប់គ្រងគណនីបាន។ ជួសជុលនៅក្នុងកំណែ 2.2.1 និង 1.123.9។
CVE-2026-25055 (CVSS 7.1) : បញ្ហាការឆ្លងកាត់ផ្លូវនៅក្នុងណូត SSH ដែលអាចនាំឱ្យមានការសរសេរឯកសារនៅទីតាំងដែលមិនបានគ្រោងទុក និងអាចមានការប្រតិបត្តិកូដពីចម្ងាយលើប្រព័ន្ធគោលដៅ។ ជួសជុលនៅក្នុងកំណែ 2.4.0 និង 1.123.12។
CVE-2026-25056 (CVSS 9.4) : ចំណុចខ្សោយក្នុងការសរសេរឯកសារតាមអំពើចិត្តនៅក្នុងរបៀប SQL Query របស់ Merge node ដែលអាចបណ្តាលឱ្យមានការប្រតិបត្តិកូដពីចម្ងាយ។ ជួសជុលនៅក្នុងកំណែ 2.4.0 និង 1.118.0។
ធ្វើបច្ចុប្បន្នភាពជាបន្ទាន់ដើម្បីកាត់បន្ថយហានិភ័យ
ដោយសារតែភាពធំទូលាយ និងភាពធ្ងន់ធ្ងរនៃភាពងាយរងគ្រោះដែលបានកំណត់អត្តសញ្ញាណ ការធ្វើបច្ចុប្បន្នភាពការដាក់ពង្រាយ n8n ទៅជាកំណែចុងក្រោយបំផុតដែលអាចរកបានត្រូវបានណែនាំយ៉ាងខ្លាំង។ ការបិទភ្ជាប់ជាបន្ទាន់នៅតែជាការការពារដ៏មានប្រសិទ្ធភាពបំផុតប្រឆាំងនឹងការកេងប្រវ័ញ្ច និងការសម្របសម្រួលជាបន្តបន្ទាប់។
