n8n ওয়ার্কফ্লো অটোমেশন প্ল্যাটফর্মের দুটি দুর্বলতা আক্রমণকারীদের সম্পূর্ণভাবে প্রভাবিত উদাহরণে আপস করতে, সংবেদনশীল ডেটা অ্যাক্সেস করতে এবং অন্তর্নিহিত হোস্টে নির্বিচারে কোড চালানোর অনুমতি দিতে পারে।
CVE-2026-1470 এবং CVE-2026-0863 হিসাবে চিহ্নিত, দুর্বলতাগুলি DevSecOps কোম্পানি JFrog-এর গবেষকরা আবিষ্কার করেছেন এবং রিপোর্ট করেছেন।
প্রমাণীকরণের প্রয়োজন হওয়া সত্ত্বেও, CVE-2026-1470 10 এর মধ্যে 9.9 এর একটি গুরুতর তীব্রতা স্কোর পেয়েছে। JFrog ব্যাখ্যা করেছেন যে n8n এর প্রধান নোডে সংঘটিত নির্বিচারে কোড সম্পাদনের কারণে সমালোচনামূলক রেটিং হয়েছে, যা n8n উদাহরণের উপর সম্পূর্ণ নিয়ন্ত্রণের অনুমতি দেয়।
n8n হল একটি ওপেন-সোর্স ওয়ার্কফ্লো অটোমেশন প্ল্যাটফর্ম যা ব্যবহারকারীদের একটি ভিজ্যুয়াল এডিটর ব্যবহার করে জটিল প্রক্রিয়াগুলিতে অ্যাপ্লিকেশন, API এবং পরিষেবাগুলি লিঙ্ক করতে দেয়।
NPM-এ 200,000-এর বেশি সাপ্তাহিক ডাউনলোড সহ, লাইব্রেরিটি টাস্ক অটোমেশনের জন্য ব্যবহৃত হয় এবং AI এবং বড় ভাষা মডেল (LLM) পরিষেবাগুলির সাথে একীকরণ সমর্থন করে৷
JFrog দ্বারা আবিষ্কৃত দুটি দুর্বলতা নিম্নরূপ সংক্ষিপ্ত করা যেতে পারে:
- CVE-2026-1470 – স্টেটমেন্ট সহ জাভাস্ক্রিপ্টের অনুপযুক্ত পরিচালনার কারণে সৃষ্ট AST স্যান্ডবক্স এস্কেপ একটি স্বতন্ত্র কনস্ট্রাক্টর শনাক্তকারীকে স্যানিটাইজেশন বাইপাস করতে এবং ফাংশনটি সমাধান করতে দেয়, যার ফলে নির্বিচারে জাভাস্ক্রিপ্ট এক্সিকিউশন সক্ষম হয় এবং এর ফলে মূল n8n নোডে সম্পূর্ণ RCE হয়।
- CVE-2026-0863 – একটি Python AST স্যান্ডবক্স এস্কেপ যা Python 3.10+ AttributeError.obj আচরণের সাথে ফর্ম্যাট-স্ট্রিং-ভিত্তিক অবজেক্টের অন্তর্নিদর্শনকে একত্রিত করে সীমাবদ্ধ বিল্টইন এবং আমদানিতে অ্যাক্সেস পেতে, যখন পাইথন প্রধান n8n node-এ একটি সাবপ্রসেস হিসাবে চলে তখন OS কমান্ড এবং সম্পূর্ণ RCE কার্যকর করার অনুমতি দেয়।
“এই দুর্বলতাগুলি হাইলাইট করে যে স্যান্ডবক্স গতিশীল, জাভাস্ক্রিপ্ট এবং পাইথনের মতো উচ্চ-স্তরের ভাষাগুলি সুরক্ষিতভাবে কতটা কঠিন,” JFrog ব্যাখ্যা করে৷
“এমনকি একাধিক বৈধতা স্তর, অস্বীকৃত তালিকা এবং AST-ভিত্তিক নিয়ন্ত্রণের সাথে, সূক্ষ্ম ভাষা বৈশিষ্ট্য এবং রানটাইম আচরণগুলি নিরাপত্তা অনুমানগুলি এড়ানোর জন্য ব্যবহার করা যেতে পারে,” গবেষকরা বলছেন।
CVE-2026-1470 ব্যবহার করার জন্য প্রমাণীকরণের প্রয়োজন কারণ স্যান্ডবক্স থেকে বাঁচতে এবং হোস্টে কমান্ড কার্যকর করার জন্য একটি ওয়ার্কফ্লো তৈরি বা সংশোধন করার অনুমতি প্রয়োজন।
ত্রুটিটি এখনও গুরুতর বলে বিবেচিত হয় কারণ নন-প্রশাসক ব্যবহারকারীরা, যারা বেশিরভাগ স্থাপনায় নিরাপদে অন্তর্ভুক্ত বলে মনে করা হয়, তারা অবকাঠামো-স্তরের নিয়ন্ত্রণের দিকে নিয়ে যেতে এটি ব্যবহার করতে পারে।
CVE-2026-1470 সংস্করণ 1.123.17, 2.4.5, এবং 2.5.1 এ স্থির করা হয়েছিল, যখন CVE-2026-0863 n8n সংস্করণ 1.123.14, 2.3.5, 2.4.2 এ সম্বোধন করা হয়েছিল। ব্যবহারকারীদের যত তাড়াতাড়ি সম্ভব সর্বশেষ সংস্করণে আপগ্রেড করার পরামর্শ দেওয়া হচ্ছে।
এটি লক্ষ করা উচিত যে n8n ক্লাউড প্ল্যাটফর্ম সমস্যাগুলির সমাধান করেছে, এবং শুধুমাত্র স্ব-হোস্টেড সংস্করণগুলি দুর্বল রিলিজগুলিকে প্রভাবিত করে৷
গবেষক রোডা স্মার্ট, যিনি একটি প্রযুক্তিগত ব্লগ পোস্টে CVE-2026-0863 ব্যাখ্যা করেছেন, লেখায় একটি প্রমাণ-অফ-কনসেপ্ট এক্সপ্লয়েট যোগ করার প্রতিশ্রুতি দিয়েছেন যা আক্রমণকারীদের স্ব-হোস্ট করা n8n স্থাপনাগুলি খুঁজে পেতে এবং লক্ষ্য করতে পারে৷
n8n প্ল্যাটফর্মটি সম্প্রতি বর্ধিত মনোযোগ পেয়েছে, কারণ নিরাপত্তা গবেষকরা গুরুতর ত্রুটির কথা জানিয়েছেন। এই মাসের শুরুর দিকে, “Ni8mare” নামে একটি সর্বোচ্চ-তীব্রতার ত্রুটি প্রকাশ করা হয়েছিল, যা দূরবর্তী, অপ্রমাণিত আক্রমণকারীদের স্থানীয় n8n দৃষ্টান্তগুলির নিয়ন্ত্রণ নিতে দেয়।
এক সপ্তাহ পরে, স্ক্যান দেখায় যে 60,000 কেস ঝুঁকির মধ্যে রয়ে গেছে। 27 জানুয়ারী পর্যন্ত, এই সংখ্যাটি 39,900টি উন্মুক্ত দৃষ্টান্তে নেমে এসেছে, যা প্ল্যাটফর্মের ব্যবহারকারীদের মধ্যে খুব ধীরগতির প্যাচিং হারকে প্রতিফলিত করে।
যেহেতু MCP (মডেল কনটেক্সট প্রোটোকল) LLM-কে টুলস এবং ডেটার সাথে সংযুক্ত করার জন্য মান হয়ে উঠেছে, নিরাপত্তা দলগুলি এই নতুন পরিষেবাগুলিকে সুরক্ষিত করার জন্য দ্রুত অগ্রসর হচ্ছে৷
এই বিনামূল্যের চিট শীটে 7টি সেরা অনুশীলনের রূপরেখা রয়েছে যা আপনি আজ ব্যবহার করা শুরু করতে পারেন।
