ចំណុចខ្សោយធ្ងន់ធ្ងរ n8n (CVSS 9.9) អនុញ្ញាតឱ្យមានការប្រតិបត្តិកូដតាមអំពើចិត្តនៅទូទាំងរាប់ពាន់ករណី

ចំណុចខ្សោយសុវត្ថិភាពដ៏សំខាន់មួយត្រូវបានបង្ហាញនៅក្នុងវេទិកាស្វ័យប្រវត្តិកម្មលំហូរការងារ n8n ដែលប្រសិនបើត្រូវបានកេងប្រវ័ញ្ចដោយជោគជ័យ វាអាចបណ្តាលឱ្យមានការប្រតិបត្តិកូដដោយបំពានក្រោមកាលៈទេសៈជាក់លាក់។

ចំណុចខ្សោយនេះ ដែលត្រូវបានតាមដានថាជា CVE-2025-68613 មានពិន្ទុ CVSS 9.9 ក្នុងចំណោមអតិបរមា 10.0។ អ្នកស្រាវជ្រាវសន្តិសុខ Fatih Çelik ត្រូវបានគេសរសើរថាបានរកឃើញ និងរាយការណ៍ពីចំណុចខ្សោយនេះ។ កញ្ចប់នេះមានការទាញយកប្រហែល 57,000 ដងក្នុងមួយសប្តាហ៍ នេះបើយោងតាមស្ថិតិនៅលើ npm។

អ្នកថែទាំកញ្ចប់ npm បាននិយាយថា "ក្រោមលក្ខខណ្ឌជាក់លាក់ កន្សោមដែលផ្គត់ផ្គង់ដោយអ្នកប្រើប្រាស់ដែលបានផ្ទៀងផ្ទាត់ក្នុងអំឡុងពេលកំណត់រចនាសម្ព័ន្ធលំហូរការងារអាចត្រូវបានវាយតម្លៃនៅក្នុងបរិបទប្រតិបត្តិដែលមិនត្រូវបានញែកដាច់ពីពេលដំណើរការមូលដ្ឋាន"។

"អ្នកវាយប្រហារដែលមានការផ្ទៀងផ្ទាត់អាចរំលោភលើឥរិយាបថនេះដើម្បីប្រតិបត្តិកូដតាមអំពើចិត្តជាមួយនឹងសិទ្ធិនៃដំណើរការ n8n។ ការកេងប្រវ័ញ្ចដោយជោគជ័យអាចនាំឱ្យមានការសម្របសម្រួលពេញលេញនៃឧទាហរណ៍ដែលរងផលប៉ះពាល់ រួមទាំងការចូលប្រើទិន្នន័យរសើបដោយគ្មានការអនុញ្ញាត ការកែប្រែលំហូរការងារ និងការប្រតិបត្តិប្រតិបត្តិការកម្រិតប្រព័ន្ធ"។

បញ្ហានេះ ដែលប៉ះពាល់ដល់កំណែទាំងអស់រួមទាំង និងខ្ពស់ជាង 0.211.0 និងក្រោម 1.120.4 ត្រូវបានជួសជុលនៅក្នុង 1.120.4, 1.121.1 និង 1.122.0។ យោងតាមវេទិកាគ្រប់គ្រងផ្ទៃវាយប្រហារ Censys មានឧទាហរណ៍ងាយរងគ្រោះចំនួន 103,476 គិតត្រឹមថ្ងៃទី 22 ខែធ្នូ ឆ្នាំ 2025។ ភាគច្រើននៃឧទាហរណ៍ទាំងនោះមានទីតាំងនៅសហរដ្ឋអាមេរិក អាល្លឺម៉ង់ បារាំង ប្រេស៊ីល និងសិង្ហបុរី។

ដោយ​សារ​តែ​ភាព​ធ្ងន់ធ្ងរ​នៃ​កំហុស​នេះ អ្នក​ប្រើប្រាស់​ត្រូវ​បាន​ណែនាំ​ឱ្យ​អនុវត្ត​ការ​អាប់ដេត​ឱ្យ​បាន​ឆាប់​តាម​ដែល​អាច​ធ្វើ​ទៅ​បាន។ ប្រសិនបើ​ការ​ជួសជុល​ជា​បន្ទាន់​មិន​មែន​ជា​ជម្រើស​មួយ​ទេ វា​ត្រូវ​បាន​ណែនាំ​ឱ្យ​កំណត់​ការ​បង្កើត​លំហូរ​ការងារ និង​ការ​អនុញ្ញាត​កែសម្រួល​ចំពោះ​អ្នក​ប្រើប្រាស់​ដែល​គួរ​ឱ្យ​ទុកចិត្ត និង​ដាក់​ពង្រាយ n8n នៅ​ក្នុង​បរិយាកាស​រឹង​មាំ​ដែល​មាន​សិទ្ធិ​ប្រព័ន្ធ​ប្រតិបត្តិការ និង​ការ​ចូល​ប្រើប្រាស់​បណ្តាញ​មាន​កម្រិត ដើម្បី​កាត់​បន្ថយ​ហានិភ័យ។