ចំណុចខ្សោយថ្មី n8n (9.9 CVSS) អនុញ្ញាតឱ្យអ្នកប្រើប្រាស់ដែលមានការផ្ទៀងផ្ទាត់អាចប្រតិបត្តិពាក្យបញ្ជាប្រព័ន្ធបាន

ចំណុចខ្សោយសុវត្ថិភាពដ៏សំខាន់ថ្មីមួយត្រូវបានបង្ហាញនៅក្នុង n8n ដែលជាវេទិកាស្វ័យប្រវត្តិកម្មលំហូរការងារប្រភពបើកចំហ ដែលអាចអនុញ្ញាតឱ្យអ្នកវាយប្រហារដែលមានការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវប្រតិបត្តិពាក្យបញ្ជាប្រព័ន្ធតាមអំពើចិត្តនៅលើម៉ាស៊ីនមេមូលដ្ឋាន។

ចំណុចខ្សោយនេះ ដែលត្រូវបានតាមដានថាជា CVE-2025-68668 ត្រូវបានវាយតម្លៃ 9.9 នៅលើប្រព័ន្ធដាក់ពិន្ទុ CVSS។ វាត្រូវបានពិពណ៌នាថាជាករណីនៃការបរាជ័យនៃយន្តការការពារ។ Vladimir Tokarev និង Ofek Itach មកពី Cyera Research Labs ត្រូវបានគេសរសើរថាបានរកឃើញ និងរាយការណ៍ពីចំណុចខ្សោយនេះ ដែលត្រូវបានគេដាក់ឈ្មោះកូដថា N8scape។

វាប៉ះពាល់ដល់កំណែ n8n ចាប់ពី 1.0.0 រហូតដល់ ប៉ុន្តែមិនរាប់បញ្ចូល 2.0.0 ហើយអនុញ្ញាតឱ្យអ្នកប្រើប្រាស់ដែលមានការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវដែលមានការអនុញ្ញាតបង្កើត ឬកែប្រែលំហូរការងារដើម្បីប្រតិបត្តិពាក្យបញ្ជាប្រព័ន្ធប្រតិបត្តិការតាមអំពើចិត្តនៅលើម៉ាស៊ីនមេដែលកំពុងដំណើរការ n8n។ បញ្ហានេះត្រូវបានដោះស្រាយនៅក្នុងកំណែ 2.0.0។

ការណែនាំសម្រាប់ចំណុចខ្សោយនេះបាននិយាយថា "ចំណុចខ្សោយ sandbox bypass មាននៅក្នុង Python Code Node ដែលប្រើ Pyodide"។ "អ្នកប្រើប្រាស់ដែលមានការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ ដោយមានការអនុញ្ញាតឱ្យបង្កើត ឬកែប្រែលំហូរការងារអាចទាញយកប្រយោជន៍ពីភាពងាយរងគ្រោះនេះ ដើម្បីប្រតិបត្តិពាក្យបញ្ជាតាមអំពើចិត្តនៅលើប្រព័ន្ធម៉ាស៊ីនដែលកំពុងដំណើរការ n8n ដោយប្រើសិទ្ធិដូចគ្នានឹងដំណើរការ n8n"។

N8n បាននិយាយថា ខ្លួនបានណែនាំការអនុវត្ត Python ដើមដែលមានមូលដ្ឋានលើ task runner នៅក្នុងកំណែ 1.111.0 ជាលក្ខណៈពិសេសជាជម្រើសសម្រាប់ការញែកសុវត្ថិភាពឱ្យប្រសើរឡើង។ លក្ខណៈពិសេសនេះអាចត្រូវបានបើកដោយការកំណត់រចនាសម្ព័ន្ធអថេរបរិស្ថាន N8N_RUNNERS_ENABLED និង N8N_NATIVE_PYTHON_RUNNER។ ជាមួយនឹងការចេញផ្សាយកំណែ 2.0.0 ការអនុវត្តត្រូវបានធ្វើឱ្យទៅជាលំនាំដើម។

ជាដំណោះស្រាយបណ្ដោះអាសន្ន n8n សូមណែនាំឱ្យអ្នកប្រើប្រាស់អនុវត្តតាមជំហានដែលបានគូសបញ្ជាក់ខាងក្រោម -

-បិទ Code Node ដោយកំណត់អថេរបរិស្ថាន NODES_EXCLUDE៖ "[\"n8n-nodes-base.code\"]"

-បិទការគាំទ្រ Python នៅក្នុង Code node ដោយកំណត់អថេរបរិស្ថាន N8N_PYTHON_ENABLED=false

-កំណត់រចនាសម្ព័ន្ធ n8n ដើម្បីប្រើ Python sandbox ដែលមានមូលដ្ឋានលើ task runner តាមរយៈអថេរបរិស្ថាន N8N_RUNNERS_ENABLED និង N8N_NATIVE_PYTHON_RUNNER

ការបង្ហាញនេះកើតឡើងនៅពេលដែល n8n បានដោះស្រាយភាពងាយរងគ្រោះដ៏សំខាន់មួយទៀត (CVE-2025-68613, ពិន្ទុ CVSS: 9.9) ដែលអាចបណ្តាលឱ្យមានការប្រតិបត្តិកូដដោយបំពានក្រោមកាលៈទេសៈជាក់លាក់។