CVE-2026-25049 ثغرة أمنية في n8n

كشفت منصة n8n لأتمتة سير العمل عن ثغرة أمنية جديدة تسمح بتنفيذ أوامر نظامية عشوائية في ظروف معينة. تم تتبع هذه الثغرة تحت رقم CVE-2026-25049، وحصلت على درجة خطورة 9.4 وفقًا لمقياس CVSS، مما يعكس خطورتها البالغة. في حال استغلالها بنجاح، تُمكّن هذه الثغرة المهاجمين من تنفيذ أوامر على مستوى النظام على الخادم المُضيف لمنصة n8n.

تجاوز ثغرة أمنية تم إصلاحها مسبقًا

ينجم CVE-2026-25049 عن عدم كفاية إجراءات التنظيف التي تتجاوز الحماية المُطبقة لمعالجة CVE-2025-68613 (CVSS 9.9)، وهي ثغرة أمنية حرجة تم ترقيعها في ديسمبر 2025. وقد أظهر تحليل لاحق أن CVE الأحدث هو في الواقع تجاوز للإصلاح الأصلي وليس مشكلة منفصلة تمامًا. وقد أثبت الباحثون أن كلا العيبين يسمحان للمهاجمين بالهروب من بيئة n8n المعزولة للتعبيرات وتجاوز فحوصات الأمان الحالية. بعد الكشف السابق، تم أيضًا تحديد نقاط ضعف إضافية في تقييم التعبيرات ومعالجتها.

متطلبات الهجوم وآليات الاستغلال

يمكن لأي مستخدم مُصادق عليه ولديه صلاحية إنشاء أو تعديل سير العمل استغلال هذه الثغرة الأمنية. فمن خلال حقن تعابير مُصممة خصيصًا في معلمات سير العمل، يصبح من الممكن تشغيل أوامر النظام دون قصد. ويتمثل أحد السيناريوهات الخطيرة بشكل خاص في إنشاء سير عمل يكشف عن رابط ويب متاح للعامة دون مصادقة. فبمجرد تضمين سطر واحد من جافا سكريبت باستخدام بنية تفكيكية، يستطيع المهاجمون التسبب في تنفيذ أوامر النظام في سير العمل. وبمجرد تفعيل سير العمل هذا، يمكن لأي طرف خارجي تشغيل رابط الويب وتنفيذ الأوامر عن بُعد.

تتفاقم خطورة الأمر عند دمجها مع وظيفة webhook الخاصة بـ n8n، والتي تسمح بكشف مسارات العمل الخبيثة علنًا. في مثل هذه الحالات، لا يتطلب الاستغلال صلاحيات إضافية تتجاوز إنشاء مسار العمل، مما يؤكد المخاطر التي لخصها الباحثون على النحو التالي: إذا سُمح بإنشاء مسار العمل، فمن الممكن اختراق الخادم بالكامل.

السبب الجذري: ثغرات في تطبيق أنواع البيانات وإساءة استخدام وقت التشغيل

تنشأ الثغرة الأمنية من ثغرات في آليات تنظيف البيانات في n8n، ومن عدم توافق جوهري بين نظام أنواع TypeScript أثناء الترجمة وسلوك JavaScript أثناء التشغيل. فبينما يفرض TypeScript قيودًا على الأنواع أثناء الترجمة، إلا أنه لا يضمن هذه القيود للقيم التي يتحكم بها المهاجم أثناء التشغيل. ومن خلال إدخال قيم غير نصية، مثل الكائنات أو المصفوفات، يستطيع المهاجمون تجاوز منطق تنظيف البيانات الذي يفترض أن المدخلات نصية فقط، مما يُعطّل فعليًا ضوابط الأمان الأساسية.

التأثير المحتمل على الأنظمة والبيانات

قد يؤدي الاستغلال الناجح إلى اختراق كامل للخادم. إذ يمكن للمهاجمين سرقة بيانات الاعتماد، وتسريب البيانات الحساسة، والوصول إلى نظام الملفات والخدمات الداخلية، والتحول إلى بيئات الحوسبة السحابية المتصلة، والسيطرة على عمليات الذكاء الاصطناعي. كما أن القدرة على تثبيت أبواب خلفية دائمة تزيد من خطر الوصول الخفي طويل الأمد.

الإصدارات المتأثرة وإرشادات التخفيف

تؤثر هذه الثغرة الأمنية على إصدارات n8n الأقدم من الإصدارات التي تم إصلاحها، وقد تم اكتشافها بفضل مساهمات عشرة باحثين أمنيين مستقلين. الإصدارات المتأثرة موضحة أدناه، بالإضافة إلى توصيات بتدابير مؤقتة لتخفيف الأثر في حال تعذر تطبيق الإصلاح الفوري:

الإصدارات المتأثرة: إصدارات n8n الأقدم من 1.123.17 و 2.5.2، حيث تم إصدار الإصلاحات.

الإجراءات الوقائية الموصى بها: تقييد إنشاء وتحرير سير العمل للمستخدمين الموثوق بهم تمامًا، ونشر n8n في بيئة محصنة مع امتيازات نظام تشغيل مقيدة ووصول محدود إلى الشبكة.

تُبرز هذه المشكلة ضرورة استخدام استراتيجيات التحقق متعددة الطبقات. يجب استكمال ضمانات وقت الترجمة بفحوصات صارمة أثناء التشغيل، لا سيما عند التعامل مع مدخلات غير موثوقة. ينبغي أن تركز مراجعات التعليمات البرمجية على إجراءات التنظيف وتجنب الافتراضات المتعلقة بأنواع المدخلات التي لا يتم تطبيقها أثناء التشغيل.

ثغرات أمنية إضافية عالية الخطورة في شبكات n8n

إلى جانب CVE-2026-25049، نشرت n8n تحذيرات بشأن أربع ثغرات أمنية إضافية، اثنتان منها مصنفتان على أنهما حرجتان:

CVE-2026-25053 (CVSS 9.4) : حقن أوامر نظام التشغيل في عقدة Git، مما يسمح للمستخدمين المصادق عليهم الذين لديهم أذونات سير العمل بتنفيذ الأوامر أو قراءة ملفات عشوائية؛ تم إصلاحها في الإصدارين 2.5.0 و 1.123.10.

CVE-2026-25054 (CVSS 8.5) : ثغرة أمنية في البرمجة النصية عبر المواقع المخزنة في مكون عرض Markdown، مما يسمح بتنفيذ البرامج النصية بامتيازات من نفس المصدر وإمكانية الاستيلاء على الحساب؛ تم إصلاحها في الإصدارين 2.2.1 و 1.123.9.

CVE-2026-25055 (CVSS 7.1) : مشكلة في اجتياز المسار في عقدة SSH والتي يمكن أن تؤدي إلى كتابة الملفات في مواقع غير مقصودة وإمكانية تنفيذ التعليمات البرمجية عن بعد على الأنظمة المستهدفة؛ تم إصلاحها في الإصدارين 2.4.0 و 1.123.12.

CVE-2026-25056 (CVSS 9.4) : ثغرة أمنية في كتابة الملفات العشوائية في وضع استعلام SQL الخاص بعقدة الدمج، مما قد يؤدي إلى تنفيذ التعليمات البرمجية عن بعد؛ تم إصلاحها في الإصدارين 2.4.0 و 1.118.0.

قم بالتحديث بشكل عاجل لتقليل المخاطر

نظراً لاتساع نطاق الثغرات الأمنية المكتشفة وخطورتها، يُنصح بشدة بتحديث تطبيقات n8n إلى أحدث الإصدارات المتاحة. ويظل التحديث الفوري للأنظمة الوسيلة الأكثر فعالية للدفاع ضد استغلال هذه الثغرات وما يتبعه من اختراق.