تم اكتشاف ثغرة أمنية خطيرة تسمح بتنفيذ تعليمات برمجية عن بُعد دون مصادقة في منصة n8n، وهي منصة أتمتة سير العمل الشهيرة، مما يُعرّض ما يُقدّر بنحو 100,000 خادم حول العالم لخطر السيطرة الكاملة.
تُعرف هذه الثغرة باسم CVE-2026-21858، وحصلت على أعلى درجة خطورة (10.0) وفقًا لنظام CVSS، وتسمح للمهاجمين غير المصادق عليهم بتنفيذ أوامر نظام عشوائية واختراق كامل للخوادم دون إطلاق أي إنذارات.
تؤثر هذه الثغرة الأمنية على جميع إصدارات n8n السابقة للإصدار 1.121.0، وتشكل خطراً جسيماً على عمليات النشر ذاتية الاستضافة والمتصلة بالإنترنت.
وفقاً لبيانات ys، يُمكن حالياً تتبّع 26,512 جهازاً مُعرّضاً للخطر والوصول إليها عبر الإنترنت، مما يُشكّل ثغرة أمنية فورية للمهاجمين الانتهازيين والجهات الخبيثة المتطورة على حدٍ سواء.
أصبحت n8n العمود الفقري لبنية أتمتة المؤسسات. مع أكثر من 100 مليون عملية سحب منr واعتمادها من قِبل آلاف المؤسسات، تُشكّل المنصة نقطة تكامل مركزية تربط سير العمل المؤسسي، وتربط كل شيء بدءاً من G D وSfe وصولاً إلى معالجات الدفع وقواعد بيانات العملاء وخطوط أنابيب التكامل المستمر/التسليم المستمر (CI/CD).
يُصبح اختراق نسخة n8n مفتاحاً رئيسياً للبنية التحتية الرقمية الكاملة للمؤسسة.
تكمن إمكانية استغلال هذه الثغرة الأمنية في خلل دقيق ولكنه بالغ الأهمية في كيفية تحليل مكونات Wook الخاصة بـ n8n للطلبات الواردة. فعقدة F Wook، الشائعة الاستخدام في أنظمة الموارد البشرية لتحميل السير الذاتية، وبوابات العملاء لإرسال الملفات، ومنصات قواعد المعرفة المؤسسية، لا تتحقق من رأس Ct-Te قبل معالجة تحميل الملفات. يُتيح هذا الإغفال للمهاجمين التلاعب بمنطق تحليل الطلبات وتجاوز آليات معالجة الملفات.
من تجاوز المصادقة إلى تنفيذ التعليمات البرمجية
تبدأ سلسلة الاستغلال التي كشفت CA بهجوم التباس نوع المحتوى. فعندما يُغيّر المهاجم رأس C T من m/f-da إلى appl/json، يستدعي البرنامج الوسيط مُحلل نص الطلب العادي بدلاً من مُحلل تحميل الملفات.
يُمكّن هذا المهاجم من حقن مسارات ملفات عشوائية في كائن re.b.f، متجاوزًا بذلك حماية Fe الأمنية التي تمنع عادةً هجمات اختراق المسار.
بمجرد أن يتحكم المهاجم في مسار الملف، يصبح بإمكانه قراءة أي ملف محلي من خادم n8n. تُشكل هذه الخاصية، أي إمكانية قراءة أي ملف، أساسًا لرفع مستوى الصلاحيات.
يخزن n8n بيانات اعتماد المستخدم وأسرار المصادقة محليًا على القرص بصيغة غير مشفرة. عادةً ما توجد قاعدة البيانات في المسار /hme/node/.n8n/d.s، بينما تُخزن أسرار التشفير في المسار /hoe/nde/.n8n/cg.
باستغلال هذه الثغرة لتحميل ملفات التكوين هذه إلى قاعدة معارف المؤسسة عبر عقدة النموذج، يستطيع المهاجمون استخراج بيانات اعتماد المستخدم الإداري وأسرار توقيع JT.
وباستخدام هذه المعلومات، يمكن للمهاجمين تزوير ملفات تعريف ارتباط المصادقة وتجاوز جميع آليات المصادقة، ما يُمكّنهم من تسجيل الدخول كمسؤول نظام دون معرفة كلمة المرور الفعلية.
بمجرد المصادقة كمسؤول، يصبح تنفيذ التعليمات البرمجية أمرًا في غاية السهولة. تسمح عقدة "تنفيذ الأوامر" في n8n للمستخدمين بتشغيل أي أوامر نظام.
يقوم المهاجم ببساطة بإنشاء سير عمل جديد يحتوي على هذه العقدة، ثم ينفذ أوامر خبيثة بنفس صلاحيات عملية n8n، والتي عادةً ما تعمل بصلاحيات الجذر في بيئات الحاويات.
من هذه النقطة، يتسع نطاق التأثير بشكل كارثي. إذ يحصل المهاجمون على جميع بيانات اعتماد واجهة برمجة التطبيقات (AI)، ورموز Oh، وسلاسل اتصال قواعد البيانات، وبيانات اعتماد التخزين السحابي المخزنة داخل n8n. في المؤسسات الكبيرة حيث يمرر آلاف الموظفين عمليات الأتمتة عبر نسخة واحدة من n8n، يمثل هذا اختراقًا كاملًا للبنية التحتية.
تتجاوز تداعيات هذا الاختراق مجرد اختراق نظام واحد. لنفترض شركة من قائمة فورتشن 500 تستخدم منصة n8n لأتمتة العمليات في مختلف أقسامها: عمليات الموارد البشرية لمعالجة بيانات الموظفين، وأتمتة العمليات المالية لمعالجة المدفوعات، وفرق العمليات لإدارة البنية التحتية السحابية، وفرق الهندسة للتكامل مع خطوط أنابيب التكامل المستمر/التسليم المستمر (CI/CD).
يصبح اختراق منصة n8n نقطة ارتكاز للتحرك الجانبي عبر البنية التحتية التقنية للمؤسسة بأكملها.
يكتسب المهاجمون القدرة على نشر برامج ضارة عبر الأنظمة التابعة، واستخراج بيانات حساسة تشمل الأسرار التجارية ومعلومات العملاء، والتلاعب بالمعاملات المالية، واختراق خطوط تطوير البرمجيات، وإنشاء ثغرات أمنية دائمة للوصول طويل الأمد.
أصدرت n8n الإصدار 1.121.0 في 18 نوفمبر 2025، والذي يعالج هذه الثغرة الأمنية الخطيرة. ينبغي على مجتمع الأمن التعامل مع هذا التحديث كتحديث عاجل يتطلب تثبيته فورًا على جميع الأنظمة.
ينبغي على المؤسسات تطبيق استراتيجية المعالجة التالية: تحديث n8n فورًا إلى الإصدار 1.121.0 أو أحدث، ومنع وصول أنظمة n8n إلى الإنترنت مباشرةً قدر الإمكان، وفرض المصادقة على جميع عقد النماذج، ومراجعة جميع عمليات سير العمل وبيانات الاعتماد المخزنة للتأكد من عدم وجود تعديلات غير مصرح بها.
يُظهر الجدول الزمني للإبلاغ المسؤول، بدءًا من التقرير الأولي في 9 نوفمبر 2025 وحتى تخصيص رقم CVE في 6 يناير 2026، التزام فريق الأمن في n8n بمعالجة الثغرات الأمنية بسرعة.
مع ذلك، تُعدّ الفترة الفاصلة بين إصدار التحديث ونشره على نطاق واسع فترةً حرجةً تُعرّض آلاف الأنظمة للخطر.
تمثل 26,512 حالة مكشوفة من n8n، والتي يمكن رصدها حاليًا عبر عمليات مسح الإنترنت، ثغرة أمنية خطيرة. لذا، ينبغي على المؤسسات إيلاء هذه الثغرة أولوية قصوى لمعالجتها فورًا، وتطبيق تجزئة الشبكة لمنع الوصول الخارجي إلى منصات التشغيل الآلي.
ونظرًا لدور n8n كمركز تكامل رئيسي، تُعد هذه الثغرة من بين أهم المشكلات الأمنية التي تواجه المؤسسات التي تُشغّل بنية تحتية لأتمتة سير العمل في عام 2026.
.png "English"){kind=small}
0 تعليقات