มีการค้นพบช่องโหว่ที่มีชื่อว่า ‘Ni8mare’ (CVE-2026-21858) ซึ่งมีระดับความรุนแรงสูงสุด โดยช่องโหว่นี้เปิดโอกาสให้ผู้โจมตีจากระยะไกลโดยไม่จำเป็นต้องมีการยืนยันตัวตน สามารถเข้าควบคุมอินสแตนซ์ของแพลตฟอร์ม N8N workflow automation ที่ติดตั้งภายในองค์กรได้ N8N เป็นเครื่องมือ Open-source ที่ใช้สำหรับเชื่อมต่อแอปพลิเคชัน, API และบริการต่างๆ เพื่อสร้างเวิร์กโฟลว์ที่ซับซ้อน มักใช้ในการทำงานอัตโนมัติและรองรับการผสานรวมกับบริการ AI และ LLM ช่องโหว่นี้เกิดจากความผิดพลาดในการจัดการ ‘content-type’ ทำให้ผู้โจมตีสามารถอ่านไฟล์ภายในระบบได้ และอาจนำไปสู่การขโมยข้อมูลสำคัญ, การข้ามการยืนยันตัวตน หรือการรันโค้ดจากระยะไกล (RCE)
Severity: วิกฤต (10 เต็ม 10)
System Impact:
- แพลตฟอร์ม N8N workflow automation
Technical Attack Steps:
- ผู้โจมตีส่งคำขอไปยัง webhook endpoint ของ n8n
- ผู้โจมตีทำการปลอมแปลงเฮดเดอร์ ‘content-type’ ให้เป็นค่าอื่นที่ไม่ใช่ ‘multipart/form-data’ (เช่น ‘application/json’)
- การปลอมแปลง ‘content-type’ นี้ทำให้ระบบของ n8n เกิดความสับสน และบายพาสกลไกการวิเคราะห์ไฟล์อัปโหลดโดยเฉพาะ
- แทนที่จะใช้ตัวแยกวิเคราะห์การอัปโหลดไฟล์ n8n กลับใช้ตัวแยกวิเคราะห์มาตรฐานที่ประมวลผลข้อมูลที่เกี่ยวข้องกับไฟล์โดยไม่มีการตรวจสอบความถูกต้องอย่างเพียงพอ
- ผู้โจมตีสามารถควบคุมพารามิเตอร์ ‘filepath’ ในส่วนเนื้อหาของคำขอได้อย่างสมบูรณ์
- การควบคุมพารามิเตอร์ ‘filepath’ นี้ทำให้ผู้โจมตีสามารถสั่งให้ n8n คัดลอกไฟล์ใดๆ จากระบบเซิร์ฟเวอร์ภายในได้
- การเข้าถึงไฟล์ภายใน เช่น กุญแจ API, ข้อมูลประจำตัวฐานข้อมูล, โทเค็น OAuth, สิทธิ์การเข้าถึงคลาวด์ หรือข้อมูลธุรกิจที่ละเอียดอ่อน อาจนำไปสู่การเปิดเผยข้อมูล การบายพาสการยืนยันตัวตน หรือการรันโค้ดจากระยะไกล (RCE)
Recommendations:
Short Term:
- อัปเดตแพลตฟอร์ม n8n เป็นเวอร์ชัน 1.121.0 หรือใหม่กว่าทันที
- จำกัดหรือปิดใช้งาน webhook และ form endpoint ที่สามารถเข้าถึงได้จากสาธารณะ
Long Term:
Share this content: