كشف باحثون أمنيون عن وجود ثغرة حرجة في منصة n8n، وهي أداة أتمتة تستخدمها المؤسسات لدمج أنظمة الذكاء الاصطناعي والعمليات المختلفة، مما قد يمكّن المهاجمين من السيطرة الكاملة على الشبكات المستهدفة.
صُنفت الثغرة، التي تحمل المعرف CVE-2026-21858، بأنها ذات خطورة قصوى وتؤثر على ما يقدر بنحو 100 ألف خادم حول العالم. وقد اكتشفتها شركة Cyera وقدمتها إلى n8n في 9 نوفمبر، فيما أصدرت الشركة المطورة للمنصة تحديثاً لمعالجة الثغرة في 18 نوفمبر، لكنها لم تعلن عنها رسمياً أو تخصص لها معرف CVE إلا مؤخراً.
ثغرة n8n الحساسة تثير قلق الخبراء الأمنيين
يصف خبراء الأمن الثغرة بأنها “ذات مخاطر هائلة”، نظراً لأن منصة n8n تعد عنصراً أساسياً في بنية الأتمتة للمؤسسات. فالسيطرة عليها تعني الوصول إلى البيانات السرية، ومعلومات العملاء، وخطوط أنابيب التطوير المستمر، وغيرها الكثير.
حتى الآن، لم يرصد الباحثون استغلالاً نشطاً لهذه الثغرة، إلا أن Cyera نشرت نموذجاً أولياً للإثبات، مما يعجل عادةً بسباق بين المدافعين لتطبيق الإصلاحات قبل أن يستغل المهاجمون الثغرة.
تجدر الإشارة إلى وجود زيادة ملحوظة في حركة المرور الموجهة نحو نسخ n8n لدى العملاء، وفقاً لتصريحات بعض الرؤساء التنفيذيين لشركات الأمن السيبراني. ويعتقد أن هذا النشاط مدفوع بالاهتمام المتزايد من قبل المهاجمين والباحثين الأمنيين، وليس بالضرورة استغلالاً مؤكداً للثغرة حتى الآن.
تفاصيل الثغرة وطرق المعالجة
تتطلب هذه الثغرة، التي تتعلق بارتباك في نوع المحتوى، عدم الحاجة إلى أي مصادقة، وتمكّن من تنفيذ الأوامر عن بعد بالكامل، ولا يوجد لها حل بديل مباشر. ويوصي الخبراء والمطورون المستخدمين بتحديث النظام إلى الإصدار 1.121.1 أو ما بعده لمعالجة هذه المشكلة.
أطلقت Cyera على الثغرة اسم “ni8mare”، وأكدت أن التحديث الذي أصدرته n8n يعالجها بفعالية. ويثير الاهتمام بهذه الثغرة خصوصاً بسبب الانتشار الواسع لمنصة n8n، وما قد ينتج عن استغلالها من انكشاف أمني كبير.
عادةً ما تدير نسخ n8n عمليات حساسة للغاية تحتوي على رموز وصول، وبيانات اعتماد، وبيانات عمل حيوية، مما يجعلها هدفاً “منجم ذهب” للمهاجمين.
تتفاقم هذه المخاطر بسبب نقاط الضعف النظامية، بما في ذلك الافتقار إلى الإدارة السليمة للتعرض، وحدود الأذونات، وضوابط أمان التطبيقات الأوسع.
التأخير في الإعلان عن الثغرة
يبقى السبب وراء تأخر n8n لما يقرب من شهرين في الكشف العلني عن الثغرة أمراً غير واضح. فقد أكدت الشركة وجود المشكلة وبدأت العمل على إصلاحها بعد يوم واحد من إبلاغ Cyera عنها. ويُحتمل أن يكون هذا التأخير ناتجاً عن محاولة الشركة معالجة عيوب إضافية، وهو ما يعتبره البعض أولوية أكبر من المسارعة في نشر التحذيرات.
بالفعل، كشفت n8n مؤخراً عن ثغرة أخرى تسمح بتنفيذ الأوامر عن بعد (CVE-2026-21877) بدرجة خطورة عالية. وقد يعود هذا التأخير إلى إجراءات الإفصاح نفسها والنمو السريع للمنصة، مما قد يبطئ التنسيق مع قنوات التحذيرات الأمنية. كما يرى بعض فرق الأمن أن التأخير المتعمد في الإعلان عن الثغرات قد يكون إجراءً مسؤولاً للحد من خطر الهجمات واسعة النطاق الفورية.