NCSA Webboard
    • ล่าสุด
    • แท็ก
    • ฮิต
      • ติดต่อสำนักงาน
    • ลงทะเบียน
    • เข้าสู่ระบบ

    แจ้งเตือนช่องโหว่ร้ายแรงใน n8n เสี่ยงถูกโจมตีเพื่อรันโค้ดบนระบบและอ่านไฟล์สำคัญจากเซิร์ฟเวอร์

    Cyber Security News
    1
    1
    9
    โหลดโพสเพิ่มเติม
    • เก่าสุดไปยังใหม่สุด
    • ใหม่สุดไปยังเก่าสุด
    • Most Votes
    ตอบ
    • ตอบโดยตั้งกระทู้ใหม่
    เข้าสู่ระบบเพื่อตอบกลับ
    Topic นี้ถูกลบไปแล้ว เฉพาะผู้ใช้งานที่มีสิทธิ์ในการจัดการ Topic เท่านั้นที่จะมีสิทธิ์ในการเข้าชม
    • NCSA_THAICERTN
      NCSA_THAICERT
      แก้ไขล่าสุดโดย

      ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) แจ้งเตือนหน่วยงานและผู้ดูแลระบบที่ใช้งาน n8n Workflow Automation Platform ให้เร่งตรวจสอบและอัปเดตระบบโดยด่วน หลังมีรายงานช่องโหว่ จำนวน 5 รายการ ซึ่งอาจถูกใช้โดยผู้โจมตีที่มีบัญชีผู้ใช้และมีสิทธิ์สร้างหรือแก้ไข workflow เพื่อทำ Prototype Pollution นำไปสู่ Remote Code Execution (RCE) บนเครื่องที่รัน n8n หรืออ่านไฟล์สำคัญจากเซิร์ฟเวอร์ได้ [1]

      1. รายละเอียดช่องโหว่
        n8n ได้ออกแพตช์แก้ไขช่องโหว่สำคัญหลายรายการ ดังนี้
        1.1 CVE-2026-42231 (CVSS v4.0: 8.8) [2] เป็นช่องโหว่ในไลบรารี xml2js ที่ใช้ประมวลผล XML request body ใน webhook handler ของ n8n ทำให้ผู้โจมตีที่มีสิทธิ์สร้างหรือแก้ไข workflow สามารถส่ง XML payload ที่ออกแบบมาเป็นพิเศษเพื่อทำ Prototype Pollution และเมื่อเชื่อมโยงกับการทำงานของ Git node อาจนำไปสู่การรันโค้ดบน n8n host ได้ ช่องโหว่นี้ได้รับการแก้ไขใน n8n เวอร์ชัน 1.123.32, 2.17.4 และ 2.18.1 ขึ้นไป [3]
        1.2 CVE-2026-42232 (CVSS v4.0: 8.8) [4] เป็นช่องโหว่ Prototype Pollution ใน XML Node โดยผู้โจมตีที่มีสิทธิ์สร้างหรือแก้ไข workflow สามารถทำให้เกิด global prototype pollution และเมื่อใช้ร่วมกับ node อื่น อาจนำไปสู่ RCE บน n8n host ได้ ช่องโหว่นี้ได้รับการแก้ไขใน n8n เวอร์ชัน 1.123.32, 2.17.4 และ 2.18.1 ขึ้นไป [5]
        1.3 CVE-2026-44789 (CVSS v4.0: 9.4) เป็นช่องโหว่ใน HTTP Request Node จากการตรวจสอบค่า pagination parameter ที่ไม่เพียงพอ ทำให้ผู้โจมตีที่มีสิทธิ์สร้างหรือแก้ไข workflow สามารถทำ global prototype pollution และนำไปสู่ RCE บน n8n host ได้ ช่องโหว่นี้ได้รับการแก้ไขใน n8n เวอร์ชัน 1.123.43, 2.20.7 และ 2.22.1 ขึ้นไป [6]
        1.4 CVE-2026-44790 (CVSS v4.0: 9.4) เป็นช่องโหว่ใน Git Node ที่ทำให้ผู้โจมตีที่มีสิทธิ์สร้างหรือแก้ไข workflow สามารถ inject CLI flags ในการทำงานของ Git Push operation และอ่านไฟล์ใด ๆ จาก n8n server ได้ ซึ่งอาจนำไปสู่การยึดระบบหรือขโมยข้อมูลสำคัญ เช่น credentials, environment variables หรือ configuration files ช่องโหว่นี้ได้รับการแก้ไขใน n8n เวอร์ชัน 1.123.43, 2.20.7 และ 2.22.1 ขึ้นไป [7]
        1.5 CVE-2026-44791 (CVSS v4.0: 9.4) เป็นช่องโหว่ที่สามารถ bypass แพตช์ของ CVE-2026-42232 ใน XML Node ได้ และเมื่อนำไปใช้ร่วมกับ node อื่น อาจทำให้เกิด RCE บน n8n host ช่องโหว่นี้ได้รับการแก้ไขใน n8n เวอร์ชัน 1.123.43, 2.20.7 และ 2.22.1 ขึ้นไป [8]

      2. ลักษณะการโจมตี
        การโจมตีช่องโหว่กลุ่มนี้โดยทั่วไปต้องอาศัยบัญชีผู้ใช้ที่มีสิทธิ์สร้างหรือแก้ไข workflow บน n8n ก่อน จากนั้นผู้โจมตีอาจใช้ XML Node, HTTP Request Node หรือ Git Node เพื่อทำ Prototype Pollution ขยายผลไปยังการรันโค้ดบนเครื่องที่รัน n8n หรืออ่านไฟล์สำคัญจากระบบได้
        แม้ช่องโหว่เหล่านี้ไม่ได้เป็น unauthenticated RCE โดยตรง แต่มีความเสี่ยงสูงในองค์กรที่มีผู้ใช้หลายราย, เปิดให้ทีมภายในสร้าง workflow, เชื่อมต่อ n8n กับระบบสำคัญ หรือเก็บ secrets/API keys ไว้ใน environment และ credentials ของระบบ automation

      3. ผลกระทบ
        3.1 ผู้โจมตีอาจสามารถรันโค้ดบนเครื่องที่รัน n8n ได้
        3.2 อาจเกิดการอ่านไฟล์สำคัญจากเซิร์ฟเวอร์ เช่น configuration, environment variables, credentials หรือไฟล์ระบบอื่น
        3.3 อาจกระทบต่อระบบที่เชื่อมต่อกับ n8n เช่น API, SaaS, ฐานข้อมูล, ระบบ CI/CD หรือระบบภายในหน่วยงาน
        3.4 อาจทำให้ข้อมูลสำคัญรั่วไหล หรือถูกใช้เพื่อขยายผลการโจมตีไปยังระบบอื่น
        3.5 หน่วยงานที่อนุญาตให้ผู้ใช้หลายรายสร้างหรือแก้ไข workflow มีความเสี่ยงสูงเป็นพิเศษ

      4. ผลิตภัณฑ์ที่ได้รับผลกระทบ
        4.1 n8n เวอร์ชันก่อน 1.123.32, 2.17.4 และ 2.18.1 ได้รับผลกระทบจาก CVE-2026-42231 และ CVE-2026-42232
        4.2 n8n เวอร์ชันก่อน 1.123.43, 2.20.7 และ 2.22.1 ได้รับผลกระทบจาก CVE-2026-44789, CVE-2026-44790 และ CVE-2026-44791

      5. แนวทางการแก้ไขและป้องกัน
        5.1 อัปเดต n8n เป็นเวอร์ชัน 1.123.43, 2.20.7 หรือ 2.22.1 ขึ้นไป เพื่อครอบคลุมช่องโหว่ชุดล่าสุด
        5.2 จำกัดสิทธิ์การสร้างและแก้ไข workflow ให้เฉพาะผู้ใช้ที่จำเป็นและเชื่อถือได้เท่านั้น
        5.3 ตรวจสอบผู้ใช้ที่มีสิทธิ์แก้ไข workflow, API keys, credentials และ secrets ที่เชื่อมต่อกับ n8n
        5.4 ตรวจสอบ workflow ที่มีการใช้งาน XML Node, HTTP Request Node และ Git Node โดยเฉพาะ workflow ที่ถูกสร้างหรือแก้ไขก่อนการอัปเดต
        5.5 หากยังไม่สามารถอัปเดตได้ทันที ให้จำกัดการใช้งาน node ที่เกี่ยวข้อง และลดสิทธิ์ผู้ใช้ทั่วไปไม่ให้สร้างหรือแก้ไข workflow ชั่วคราว
        5.6 แยก n8n ออกจากระบบสำคัญด้วย network segmentation และหลีกเลี่ยงการรัน n8n ด้วยสิทธิ์สูงเกินจำเป็น
        5.7 ตรวจสอบ log การแก้ไข workflow, การเรียก webhook, การใช้ Git node, การเรียก HTTP request ผิดปกติ และพฤติกรรมที่อาจบ่งชี้การอ่านไฟล์หรือรันคำสั่งบนระบบ
        5.8 หมุนเวียนหรือเปลี่ยน credentials/secrets ที่ n8n ใช้งาน หากพบว่าระบบเคยอยู่ในเวอร์ชันที่ได้รับผลกระทบหรือมีพฤติกรรมต้องสงสัย

      HTTP Request Node.png

      แหล่งอ้างอิง
      [1] https://dg.th/schny7tzqu
      [2] https://dg.th/9gs65w8i7o
      [3] https://dg.th/p6hzxy2mw7
      [4] https://dg.th/34drz9wg8e
      [5] https://dg.th/pwl4qj35mv
      [6] https://dg.th/65veai9m0b
      [7] https://dg.th/wz1iuf68hv
      [8] https://dg.th/e324xtvda1

      1 การตอบกลับ คำตอบล่าสุด ตอบ คำอ้างอิง 0
      • First post
        Last post