كشفت منصة n8n لأتمتة سير العمل عن ثغرة أمنية حرجة جديدة، يمكن أن تؤدي إلى تنفيذ أوامر نظام عشوائية في حال استغلالها بنجاح. وتبرز هذه الثغرة أهمية اليقظة المستمرة في مجال الأمن السيبراني.
الثغرة، التي تحمل المعرف CVE-2026-25049، تأتي نتيجة لعدم كفاية التحقق من المدخلات، مما يسمح بتجاوز الإجراءات الوقائية الموضوعة لمعالجة ثغرة سابقة (CVE-2025-68613) ذات خطورة عالية. وقد قامت n8n بتصحيح الثغرة السابقة في ديسمبر 2025.
وقالت الجهة المطورة لمنصة n8n في إعلانها: “تم تحديد وإصلاح ثغرات إضافية في تقييم التعبيرات داخل n8n بعد اكتشاف CVE-2025-68613”.
وأضافت: “يمكن لمستخدم مصرح له ولديه صلاحيات إنشاء أو تعديل سير العمل إساءة استخدام تعبيرات مصممة خصيصًا في معلمات سير العمل، لتنفيذ أوامر نظام غير مقصودة على الجهاز الذي يعمل عليه n8n”.
تفاصيل الثغرة الأمنية في n8n
تشمل الإصدارات المتأثرة بالثغرة الإصدارات الأقل من 1.123.17 (تم الإصلاح في 1.123.17) والإصدارات الأقل من 2.5.2 (تم الإصلاح في 2.5.2). وقد تم الإشادة بعدد من باحثي الأمن السيبراني، بمن فيهم أولئك الذين اكتشفوا الثغرة الأصلية، لمساهماتهم في الكشف عن هذه الثغرة الجديدة.
وفقًا لتقرير من إحدى شركات الأمن السيبراني، يمكن للمهاجم إنشاء سير عمل يستخدم نقطة نهاية عامة (webhook) لا تتطلب أي مصادقة. عبر إضافة سطر واحد من كود JavaScript، يمكن استغلال الثغرة لتنفيذ أوامر على مستوى النظام.
وتزداد خطورة الثغرة بشكل كبير عند اقترانها بميزة نقاط النهاية العامة (webhook) في n8n. حيث يسمح ذلك للمهاجم بإنشاء سير عمل عام وإضافة حمولة تنفيذ تعليمات برمجية عن بعد (remote code execution) إلى عقدة في سير العمل، مما يجعل نقطة النهاية العامة متاحة لأي شخص بعد تفعيل سير العمل.
مخاطر استغلال الثغرة
يمكن أن يؤدي الاستغلال الناجح لهذه الثغرة إلى اختراق الخادم، وسرقة بيانات الاعتماد، وتسريب بيانات حساسة. بالإضافة إلى ذلك، قد تفتح الباب أمام الجهات الخبيثة لتثبيت أبواب خلفية (backdoors) لضمان الوصول طويل الأمد.
وصف تقرير صادر عن شركة Pillar Security المشكلة بأنها تسمح للمهاجم بسرقة مفاتيح واجهات برمجة التطبيقات (API keys)، ومفاتيح موفري الخدمات السحابية، وكلمات مرور قواعد البيانات، ورموز OAuth، والوصول إلى نظام الملفات والأنظمة الداخلية، والانتقال إلى الحسابات السحابية المتصلة، وحتى اختطاف سير عمل الذكاء الاصطناعي (AI).
وأوضحت شركة Endor Labs، التي شاركت أيضًا تفاصيل الثغرة، أن المشكلة تنبع من فجوات في آليات التحقق من المدخلات في n8n، والتي تسمح بتجاوز ضوابط الأمان.
وذكر أحد الخبراء أن المشكلة تنشأ من عدم تطابق بين نظام الأنواع في وقت الترجمة (compile-time type system) في TypeScript والسلوك وقت التشغيل (runtime behavior) في JavaScript. فبينما تفرض TypeScript أن يكون الخاصية سلسلة نصية في وقت الترجمة، فإن هذا الإنفاذ يقتصر على القيم الموجودة في الكود أثناء الترجمة.
ولا يمكن لـ TypeScript فرض هذه الفحوصات على أنواع القيم التي ينتجها المهاجم وقت التشغيل. فعندما يصمم المهاجمون تعبيرات خبيثة وقت التشغيل، يمكنهم تمرير قيم غير نصية (مثل الكائنات، المصفوفات، أو الرموز) تتجاوز فحص التحقق بالكامل.
احتياطات وتوصيات
في حال عدم إمكانية تطبيق التحديثات على الفور، يُنصح المستخدمون باتخاذ تدابير احترازية لتقليل تأثير الاستغلال المحتمل. وتشمل هذه التدابير تقييد صلاحيات إنشاء وتعديل سير العمل للمستخدمين الموثوق بهم فقط.
كما يُنصح بنشر n8n في بيئة مؤمنة مع فرض قيود على صلاحيات نظام التشغيل والوصول الشبكي. وتؤكد هذه الثغرة على أهمية وجود طبقات متعددة من التحقق، وأهمية إجراء فحوصات إضافية وقت التشغيل عند معالجة المدخلات غير الموثوق بها.