كشفت تقارير بحثية متزامنة عن وجود ثغرات أمنية حرجة في منصة n8n مفتوحة المصدر والمتخصصة في أتمتة سير العمل. وتزامن هذا الكشف مع توفر أدوات إثبات مفهوم (PoC) وشيفرات استغلال عامة، ما يرفع احتمالات الاستغلال العملي لهذه الثغرات، لا سيما في البيئات التي تمنح المستخدمين غير الإداريين صلاحيات إنشاء أو تعديل مسارات العمل.
تحمل الثغرة الأبرز المعرف CVE-2026-25049، وهي تتيح لأي مستخدم مصادق يمتلك صلاحية إنشاء أو تحرير سير العمل (Workflow) تنفيذ أوامر عن بعد على خادم n8n بصورة غير مقيدة. ويؤدي هذا الخرق إلى سيطرة كاملة على الخادم والوصول إلى ما يتصل به من أسرار واعتمادات رقمية.
خلل في العزل وتجاوز الإصلاحات السابقة
يرتبط جوهر المشكلة بضعف آليات تنظيف البيانات (Sanitization) وقصور نظام العزل Sandbox القائم على AST في تعبيرات JavaScript داخل سير العمل. وأشارت التحليلات إلى أن هذه الثغرة تمثل تجاوزاً لإصلاح سابق استهدف ثغرة حرجة أخرى تحمل المعرف CVE-2025-68613.
ونقل التقرير عن Pillar Security أن استغلال هذا الخلل يمكّن المهاجم من تنفيذ أوامر نظام مباشرة على الخادم، والاستيلاء على الاعتمادات المخزنة والأسرار، مثل مفاتيح API ورموز OAuth، والوصول إلى ملفات الإعدادات الحساسة. كما يمهد الطريق للانتقال اللاحق إلى حسابات سحابية متصلة، مع احتمال اعتراض تدفقات الذكاء الاصطناعي وتعديل مخرجاتها أو إعادة توجيه حركة المرور.
وفي البيئات متعددة المستأجرين (Multi-tenant)، لفتت المصادر إلى بعد إضافي يتصل بإمكانية الوصول إلى خدمات داخلية ضمن العنقود (Cluster)، وهو مسار قد يوسع نطاق الأثر ليشمل بيانات مستأجرين آخرين تبعاً لتصميم عملية النشر.
تسلسل زمني ومؤشرات استهداف ميدانية
بدأت ملامح الأزمة في 21 ديسمبر 2025، عندما عرض باحثون سلسلة تجاوز تتيح الهرب من العزل والوصول إلى كائنات Node.js العامة. ورغم تطبيق إصلاح أولي في 23 ديسمبر، تبين لاحقاً أنه غير مكتمل، ما أدى لظهور تجاوزات إضافية تم تأكيدها في نهاية العام المنصرم. وفي 12 يناير 2026، صدر إصدار n8n 2.4.0 لمعالجة جزء من الإشكالية، إلا أن التحليلات الفنية تؤكد تأثر جميع الإصدارات السابقة لـ 2.5.2 و1.123.17.
وعلى صعيد الرصد الميداني، أورد التقرير مثالاً من شركة GreyNoise، التي رصدت بين 27 يناير و3 فبراير الجاري نحو 33,270 طلب HTTP استهدفت نقاط Webhook، مع اهتمام واضح بمسارات ترتبط بمنصة n8n والثغرة CVE-2026-21858.
توصيات الاستجابة الفورية
تكتسب هذه الثغرات أهمية قصوى لأن n8n تعمل في كثير من المؤسسات كطبقة تكامل بين الأنظمة الداخلية والخدمات السحابية. وبناء عليه، شددت التقارير على ضرورة اتخاذ الإجراءات التالية:
- التحديث الفوري: الترقية إلى الإصدارات 1.123.17 أو 2.5.2 أو ما يليهما.
- تدوير المفاتيح: تغيير مفتاح التشفير N8N_ENCRYPTION_KEY وجميع الاعتمادات المخزنة ومفاتيح API ورموز OAuth.
- التدقيق البرمجي: مراجعة مسارات العمل بحثاً عن أي تعبيرات مشبوهة في العقد (Nodes) التي تتعامل مع JavaScript.
- تخفيف الأثر: في حال تعذر التحديث، يجب حصر صلاحيات تعديل سير العمل في أضيق نطاق، وتشغيل المنصة داخل بيئة محكمة بصلاحيات نظام مقيدة.
