ช่องโหว่ร้ายแรงใหม่ใน n8n เปิดทางแฮกเกอร์รันโค้ดได้เต็มระบบ ผู้ใช้อัปเดตด่วน
นักวิจัยด้านความปลอดภัยไซเบอร์เพิ่งเปิดเผยพบ ช่องโหว่ความรุนแรงสูงหลายรายการ ในแพลตฟอร์ม n8n ที่อาจทำให้ผู้โจมตีที่มีสิทธิ์เข้าถึงระบบแล้วสามารถสั่งรันโค้ดอันตรายได้บนระบบหลักของ n8n เอง ซึ่งถือเป็นภัยความปลอดภัยระดับสูงมากและเปิดประตูให้แฮกเกอร์ “ยึดครองอินสแตนซ์ทั้งหมดได้” หากถูกโจมตีสำเร็จ
ช่องโหว่สองรายการที่ได้รับการเปิดเผยคือ CVE-2026-1470 ที่มีคะแนนความร้ายแรงเกือบสูงสุด (CVSS 9.9) และ CVE-2026-0863 ที่มีระดับสูง (CVSS 8.5) โดยทั้งคู่เป็นช่องโหว่ “sandbox escape” ที่ทำให้ผู้โจมตีที่ผ่านการยืนยันตัวตนแล้วสามารถหลบเลี่ยงระบบป้องกันเพื่อรันโค้ดแบบ Arbitrary ในโหนดหลักหรือส่วนประมวลผล Python ของ n8n ได้
หากเหตุการณ์นี้เกิดกับระบบ n8n ที่ทำงานภายใต้ “Internal execution mode” และไม่มีการแยกกระบวนการอย่างเหมาะสม ช่องโหว่เหล่านี้อาจนำไปสู่การควบคุมและเปลี่ยนแปลงเวิร์กโฟลว์ การขโมยข้อมูล และการรันคำสั่งบนระบบปฏิบัติการของเซิร์ฟเวอร์ได้โดยตรง
โดยทีมพัฒนา n8n ได้ปล่อย แพตช์แก้ไขช่องโหว่แล้วในหลายเวอร์ชันล่าสุด ทั้งสำหรับโค้ดหลักและตัวจัดการ task ของ Python จึงแนะนำให้ผู้ดูแลระบบ อัปเดตทันที เพื่อลดความเสี่ยงจากการโจมตีนี้ นอกจากนี้ ข่าวช่องโหว่ยังสะท้อนให้เห็นถึงความท้าทายของแพลตฟอร์มอัตโนมัติที่ต้องรับมือกับโค้ดจากหลายแหล่งและการทำ sandboxing ภายในตัวเอง