CVE-2026-25049 n8n பாதிப்பு

n8n பணிப்பாய்வு ஆட்டோமேஷன் தளத்தில் புதிதாக வெளிப்படுத்தப்பட்ட பாதுகாப்பு பாதிப்பு, சில நிபந்தனைகளின் கீழ் தன்னிச்சையான கணினி கட்டளை செயல்படுத்தலை அனுமதிக்கிறது. இந்த குறைபாடு CVE-2026-25049 என கண்காணிக்கப்படுகிறது மற்றும் அதன் முக்கியமான தீவிரத்தை பிரதிபலிக்கும் 9.4 CVSS மதிப்பெண்ணைக் கொண்டுள்ளது. வெற்றிகரமாக சுரண்டப்பட்டால், இந்த சிக்கல் தாக்குபவர்கள் n8n ஐ வழங்கும் சேவையகத்தில் கணினி-நிலை கட்டளைகளை இயக்க உதவுகிறது.

முன்னர் சரிசெய்யப்பட்ட பாதிப்பின் பைபாஸ்

CVE-2026-25049, டிசம்பர் 2025 இல் சரிசெய்யப்பட்ட ஒரு முக்கியமான பாதிப்பான CVE-2025-68613 (CVSS 9.9) ஐ சரிசெய்ய அறிமுகப்படுத்தப்பட்ட பாதுகாப்புகளைத் தவிர்த்து, போதுமான சுத்திகரிப்பு இல்லாததால் உருவாகிறது. அடுத்தடுத்த பகுப்பாய்வு, புதிய CVE முற்றிலும் தனித்துவமான சிக்கலுக்குப் பதிலாக அசல் பிழைத்திருத்தத்தின் ஒரு பைபாஸ் ஆகும் என்பதைக் காட்டுகிறது. இரண்டு குறைபாடுகளும் தாக்குபவர்கள் n8n இன் எக்ஸ்பிரஷன் சாண்ட்பாக்ஸிலிருந்து தப்பிக்கவும், ஏற்கனவே உள்ள பாதுகாப்பு சோதனைகளைத் தவிர்க்கவும் அனுமதிக்கின்றன என்பதை ஆராய்ச்சியாளர்கள் நிரூபித்துள்ளனர். முந்தைய வெளிப்பாட்டைத் தொடர்ந்து, வெளிப்பாடு மதிப்பீட்டில் கூடுதல் பலவீனங்களும் அடையாளம் காணப்பட்டு தீர்க்கப்பட்டன.

தாக்குதல் முன்நிபந்தனைகள் மற்றும் சுரண்டல் இயக்கவியல்

பணிப்பாய்வுகளை உருவாக்க அல்லது மாற்ற அனுமதி பெற்ற எந்தவொரு அங்கீகரிக்கப்பட்ட பயனரும் இந்த பாதிப்பைப் பயன்படுத்திக் கொள்ளலாம். பணிப்பாய்வு அளவுருக்களில் வடிவமைக்கப்பட்ட வெளிப்பாடுகளை உட்செலுத்துவதன் மூலம், திட்டமிடப்படாத கணினி கட்டளை செயல்படுத்தலைத் தூண்டுவது சாத்தியமாகும். குறிப்பாக ஆபத்தான சூழ்நிலையில், அங்கீகாரம் இல்லாமல் பொதுவில் அணுகக்கூடிய வெப்ஹூக்கை வெளிப்படுத்தும் ஒரு பணிப்பாய்வு உருவாக்குவது அடங்கும். அழிக்கும் தொடரியல் பயன்படுத்தி ஜாவாஸ்கிரிப்ட்டின் ஒற்றை வரியை உட்பொதிப்பதன் மூலம், தாக்குபவர்கள் பணிப்பாய்வு கணினி கட்டளைகளை இயக்கச் செய்யலாம். அத்தகைய பணிப்பாய்வு செயல்படுத்தப்பட்டதும், எந்தவொரு வெளிப்புற தரப்பினரும் வெப்ஹூக்கைத் தூண்டி கட்டளைகளை தொலைவிலிருந்து இயக்கலாம்.

n8n இன் webhook செயல்பாட்டுடன் இணைந்தால் தீவிரம் மேலும் அதிகரிக்கிறது, இது தீங்கிழைக்கும் பணிப்பாய்வுகளை பொதுவில் வெளிப்படுத்த அனுமதிக்கிறது. இதுபோன்ற சந்தர்ப்பங்களில், சுரண்டலுக்கு பணிப்பாய்வு உருவாக்கத்திற்கு அப்பால் உயர்ந்த சலுகைகள் தேவையில்லை, இது ஆராய்ச்சியாளர்களால் சுருக்கமாகக் கூறப்படும் ஆபத்தை அடிக்கோடிட்டுக் காட்டுகிறது: பணிப்பாய்வு உருவாக்கம் அனுமதிக்கப்பட்டால், முழு சேவையக சமரசம் அடையக்கூடியது.

மூல காரணம்: வகை அமலாக்க இடைவெளிகள் மற்றும் இயக்க நேர துஷ்பிரயோகம்

n8n இன் சுத்திகரிப்பு வழிமுறைகளில் உள்ள இடைவெளிகள் மற்றும் டைப்ஸ்கிரிப்ட்டின் தொகுத்தல்-நேர வகை அமைப்புக்கும் ஜாவாஸ்கிரிப்ட்டின் இயக்க நேர நடத்தைக்கும் இடையிலான அடிப்படை பொருந்தாத தன்மையால் இந்த பாதிப்பு ஏற்படுகிறது. தொகுக்கும் போது டைப்ஸ்கிரிப்ட் வகை கட்டுப்பாடுகளை செயல்படுத்தினாலும், இயக்க நேரத்தில் அறிமுகப்படுத்தப்படும் தாக்குபவர் கட்டுப்படுத்தும் மதிப்புகளுக்கு இந்த கட்டுப்பாடுகளை உத்தரவாதம் செய்ய முடியாது. பொருள்கள் அல்லது வரிசைகள் போன்ற சரம் அல்லாத மதிப்புகளை வழங்குவதன் மூலம், தாக்குபவர்கள் சரம்-மட்டும் உள்ளீட்டை கருதும் சுத்திகரிப்பு தர்க்கத்தைத் தவிர்க்கலாம், முக்கியமான பாதுகாப்புக் கட்டுப்பாடுகளை திறம்பட நடுநிலையாக்குகிறார்கள்.

அமைப்புகள் மற்றும் தரவுகளில் சாத்தியமான தாக்கம்

வெற்றிகரமான சுரண்டல் முழுமையான சர்வர் சமரசத்திற்கு வழிவகுக்கும். தாக்குபவர்கள் சான்றுகளைத் திருடலாம், முக்கியமான தரவை வெளியேற்றலாம், கோப்பு முறைமை மற்றும் உள் சேவைகளை அணுகலாம், இணைக்கப்பட்ட கிளவுட் சூழல்களுக்குச் செல்லலாம் மற்றும் செயற்கை நுண்ணறிவு பணிப்பாய்வுகளைக் கடத்தலாம். தொடர்ச்சியான பின்கதவுகளை நிறுவும் திறன் நீண்ட கால, ரகசிய அணுகலுக்கான அபாயத்தை மேலும் அதிகரிக்கிறது.

பாதிக்கப்பட்ட பதிப்புகள் மற்றும் குறைப்பு வழிகாட்டுதல்

இந்த பாதிப்பு, இணைக்கப்பட்ட வெளியீடுகளை விட முந்தைய n8n பதிப்புகளைப் பாதிக்கிறது மற்றும் பத்து சுயாதீன பாதுகாப்பு ஆராய்ச்சியாளர்களின் பங்களிப்புகளுடன் கண்டறியப்பட்டது. உடனடி ஒட்டுப்போடுதல் சாத்தியமில்லாதபோது பரிந்துரைக்கப்பட்ட இடைக்காலத் தணிப்புகளுடன், பின்வரும் பதிப்புகள் பாதிக்கப்படுகின்றன:

பாதிக்கப்பட்ட பதிப்புகள்: 1.123.17 மற்றும் 2.5.2 க்கு முந்தைய n8n பதிப்புகள், இங்கு திருத்தங்கள் வெளியிடப்பட்டுள்ளன.

பரிந்துரைக்கப்படும் குறைப்புகள்: பணிப்பாய்வு உருவாக்கம் மற்றும் திருத்துதலை முழுமையாக நம்பகமான பயனர்களுக்கு மட்டுமே கட்டுப்படுத்துதல், மற்றும் கட்டுப்படுத்தப்பட்ட இயக்க முறைமை சலுகைகள் மற்றும் வரையறுக்கப்பட்ட நெட்வொர்க் அணுகலுடன் கூடிய கடினமான சூழலில் n8n ஐப் பயன்படுத்துதல்.

இந்த பிரச்சினை அடுக்கு சரிபார்ப்பு உத்திகளின் அவசியத்தை எடுத்துக்காட்டுகிறது. தொகுத்தல் நேர உத்தரவாதங்கள் கடுமையான இயக்க நேர சோதனைகளால் பூர்த்தி செய்யப்பட வேண்டும், குறிப்பாக நம்பத்தகாத உள்ளீட்டைக் கையாளும் போது. குறியீடு மதிப்பாய்வுகள் சுத்திகரிப்பு நடைமுறைகளில் கவனம் செலுத்த வேண்டும் மற்றும் இயக்க நேரத்தில் செயல்படுத்தப்படாத உள்ளீட்டு வகைகள் பற்றிய அனுமானங்களைத் தவிர்க்க வேண்டும்.

கூடுதல் உயர்-தீவிரத்தன்மை n8n பாதிப்புகள்

CVE-2026-25049 உடன், n8n நான்கு கூடுதல் பாதுகாப்பு குறைபாடுகளுக்கான ஆலோசனைகளை வெளியிட்டுள்ளது, அவற்றில் இரண்டு முக்கியமானவை என மதிப்பிடப்பட்டுள்ளன:

CVE-2026-25053 (CVSS 9.4) : Git முனையில் இயக்க முறைமை கட்டளை ஊசி, பணிப்பாய்வு அனுமதிகளைக் கொண்ட அங்கீகரிக்கப்பட்ட பயனர்கள் கட்டளைகளை இயக்க அல்லது தன்னிச்சையான கோப்புகளைப் படிக்க அனுமதிக்கிறது; பதிப்புகள் 2.5.0 மற்றும் 1.123.10 இல் சரி செய்யப்பட்டது.

CVE-2026-25054 (CVSS 8.5) : மார்க் டவுன் ரெண்டரிங் கூறுகளில் சேமிக்கப்பட்ட குறுக்கு-தள ஸ்கிரிப்டிங் பாதிப்பு, ஒரே-மூல சலுகைகள் மற்றும் சாத்தியமான கணக்கு கையகப்படுத்துதலுடன் ஸ்கிரிப்ட் செயல்படுத்தலை செயல்படுத்துகிறது; பதிப்புகள் 2.2.1 மற்றும் 1.123.9 இல் சரி செய்யப்பட்டது.

CVE-2026-25055 (CVSS 7.1) : SSH முனையில் உள்ள பாதை குறுக்குவெட்டு சிக்கல், திட்டமிடப்படாத இடங்களில் கோப்பு எழுதுதல்களுக்கும் இலக்கு அமைப்புகளில் தொலைதூர குறியீடு செயல்படுத்தலுக்கும் வழிவகுக்கும்; பதிப்புகள் 2.4.0 மற்றும் 1.123.12 இல் சரி செய்யப்பட்டது.

CVE-2026-25056 (CVSS 9.4) : Merge node இன் SQL Query பயன்முறையில் தன்னிச்சையான கோப்பு எழுதும் பாதிப்பு, தொலை குறியீடு செயல்படுத்தலுக்கு வழிவகுக்கும்; பதிப்புகள் 2.4.0 மற்றும் 1.118.0 இல் சரி செய்யப்பட்டது.

ஆபத்தைக் குறைக்க அவசரமாகப் புதுப்பிக்கவும்

அடையாளம் காணப்பட்ட பாதிப்புகளின் அகலம் மற்றும் தீவிரத்தை கருத்தில் கொண்டு, n8n பயன்பாடுகளை சமீபத்திய கிடைக்கக்கூடிய பதிப்புகளுக்குப் புதுப்பிப்பது கடுமையாக பரிந்துரைக்கப்படுகிறது. சுரண்டல் மற்றும் அதைத் தொடர்ந்து ஏற்படும் சமரசங்களுக்கு எதிராக உடனடி ஒட்டுப்போடுதல் மிகவும் பயனுள்ள பாதுகாப்பாக உள்ளது.