n8n में orderByColumn एक्सप्रेशन के माध्यम से डेटा टेबल नोड में SQL इंजेक्शन (SQL Injection) है

## प्रभाव वर्कफ़्लो बनाने या संशोधित करने की अनुमति वाला एक प्रमाणित उपयोगकर्ता डेटा टेबल गेट नोड में SQL इंजेक्शन (SQL Injection) भेद्यता का फायदा उठा सकता है। डिफ़ॉल्ट SQLite DB पर, एकल स्टेटमेंट में हेरफेर किया जा सकता है और अटैक सतह व्यावहारिक रूप से सीमित है। PostgreSQL परिनियोजन पर, मल्टी-स्टेटमेंट निष्पादन संभव है, जो डेटा संशोधन और विलोपन को सक्षम करता है। ## पैच यह समस्या n8n संस्करण 1.123.26, 2.13.3 और 2.14.1 में ठीक कर दी गई है। उपयोगकर्ताओं को भेद्यता को दूर करने के लिए इनमें से किसी एक संस्करण या बाद के संस्करण में अपग्रेड करना चाहिए। ## समाधान यदि अपग्रेड करना तुरंत संभव नहीं है, तो प्रशासकों को निम्नलिखित अस्थायी शमन पर विचार करना चाहिए: - वर्कफ़्लो निर्माण और संपादन अनुमतियों को केवल पूरी तरह से विश्वसनीय उपयोगकर्ताओं तक सीमित करें। - `NODES_EXCLUDE` पर्यावरण चर में `n8n-nodes-base.dataTable` जोड़कर डेटा टेबल नोड को अक्षम करें। - डेटा टेबल गेट नोड्स के लिए मौजूदा वर्कफ़्लो की समीक्षा करें जहां `orderByColumn` को एक ऐसे एक्सप्रेशन पर सेट किया गया है जो बाहरी या उपयोगकर्ता द्वारा आपूर्ति किए गए इनपुट को शामिल करता है। ये समाधान जोखिम को पूरी तरह से दूर नहीं करते हैं और इनका उपयोग केवल अल्पकालिक शमन उपायों के रूप में किया जाना चाहिए।