كشف باحثون في مجال الأمن السيبراني عن ثغرة أمنية خطيرة للغاية في منصة n8n، وهي أداة شائعة لأتمتة سير العمل، تتيح للمهاجمين عن بعد الوصول إلى أنظمتكم دون الحاجة إلى أي صلاحيات.
تمت تسمية الثغرة، التي تحمل المعرف CVE-2026-21858، باسم “Ni8mare”، وقد اكتشفها الباحث الأمني دور أتياز. وتسمح هذه الثغرة للمهاجمين بالتحكم الكامل في المنصات المعرضة للخطر.
ثغرة خطيرة في m8n تمنح المهاجمين تحكماً كاملاً
تتعلق المشكلة الأساسية بكيفية تعامل منصة n8n مع المحتوى المرسل إليها، وخاصة في آلية الـ webhook ومعالجة الملفات. فبينما يُفترض أن تحدد المنصة نوع المحتوى لتطبيق الإجراء المناسب، إلا أن الثغرة تسمح بتجاوز هذا التحقق.
ووفقاً للتفاصيل التقنية، فإن هذه الثغرة تتيح للمهاجم إمكانية الوصول إلى ملفات حساسة على الخادم، وتزوير صلاحيات المسؤول، بل وتنفيذ أوامر عشوائية، وكل ذلك دون الحاجة إلى أي بيانات اعتماد.
تؤثر هذه الثغرة الأمنية على جميع إصدارات n8n حتى الإصدار 1.65.0، وقد تم إصلاحها في الإصدار 1.121.0.
آلية عمل الثغرة
عندما يتم إرسال طلب يحتوي على معلومات، تقوم المنصة بتحليل “Content-Type” لتحديد كيفية معالجة البيانات. إذا كان نوع المحتوى “multipart/form-data”، يتم استخدام معالج خاص للملفات.
ومع ذلك، فإن الثغرة تكمن في إمكانية تشغيل وظائف معالجة الملفات دون التأكد من أن نوع المحتوى هو “multipart/form-data” بشكل صحيح. هذا يسمح للمهاجم بالتحكم في مسار الملفات.
وبالتالي، بدلاً من معالجة ملف تم تحميله، يمكن للمهاجم جعل المنصة تقرأ أي ملف محلي موجود على النظام، مما يكشف عن محتواه.
التداعيات المحتملة لهجوم m8n
تمتد عواقب استغلال هذه الثغرة الأمنية لتشمل الوصول إلى معلومات بالغة الحساسية. على سبيل المثال، يمكن للمهاجم قراءة ملف قاعدة البيانات الخاص بالمنصة. ومن ثم، استخلاص بيانات المستخدمين، بما في ذلك المعلومات المشفرة لكلمات المرور.
علاوة على ذلك، يمكن للمهاجم قراءة ملف التكوين لاستخراج مفتاح التشفير السري. باستخدام هذه المعلومات، يمكن للمهاجم تزوير جلسة عمل للمسؤول، مما يتيح له تجاوز إجراءات المصادقة.
وفي الخطوة النهائية، يمكن للمهاجم إنشاء سير عمل جديد يتضمن تنفيذ أمر، وبذلك يحقق قدرة على تنفيذ تعليمات برمجية عشوائية على الخادم، مما يعني سيطرة كاملة على النظام.
يُعد استغلال ثغرات الأتمتة مثل هذه في منصة n8n خطيراً للغاية، حيث توفر هذه المنصات غالباً الوصول إلى بيانات حساسة ومتنوعة مثل مفاتيح API، ورموز OAuth، واتصالات قواعد البيانات، وحسابات التخزين السحابي. هذا يجعل من n8n نقطة فشل مركزية وكنزاً للمهاجمين.
تنصح الجهات الأمنية المستخدمين بتحديث منصات n8n الخاصة بهم إلى أحدث الإصدارات المتوفرة بأسرع وقت ممكن. كما يوصى بشدة بتجنب ربط المنصة بالإنترنت بشكل مباشر، وفرض المصادقة على جميع استمارات الإدخال.
كإجراءات احترازية إضافية، يمكن تقييد أو تعطيل نقاط النهاية العامة للـ webhook والاستمارات غير الضرورية، لتقليل مخاطر التعرض لهذه الثغرة.
تأتي هذه الثغرة في وقت تواجه فيه العديد من منصات الأتمتة تحديات أمنية، مما يؤكد على أهمية اليقظة المستمرة والالتزام بأفضل ممارسات الأمن السيبراني لحماية الأنظمة والبيانات.