كشفت الأبحاث الأمنية عن ثغرة حرجة في منصة n8n لأتمتة سير العمل، تتيح لمهاجمين بعيدين غير مصرح لهم السيطرة الكاملة على النظام المصاب. حسب تيكبامين، تبلغ الثغرة المسجلة باسم CVE-2026-21858 درجة خطورة قصوى 10.0 على مقياس CVSS.
ما هي ثغرة CVE-2026-21858؟
أطلقت مختبرات Cyera Research اسم "Ni8mare" على هذه الثغرة الخطيرة. يعود الفضل في اكتشافها إلى الباحث الأمني Dor Attias الذي أبلغ عنها في 9 نوفمبر 2025.
وفقاً لـ n8n، تتيح الثغرة للمهاجم الوصول إلى الملفات على الخادم الأساسي من خلال تنفيذ مهام سير العمل المعتمدة على النماذج. يمكن للمهاجم غير المصرح له استغلال ثغرة في سير عمل معين، مما يؤدي إلى:
- كشف معلومات حساسة مخزنة على النظام
- تزيين وصول إداري
- تنفيذ أوامر عشوائية على الخادم
- مزيد من الاختراق حسب إعدادات النشر
كيف تعمل الثغرة التقنياً؟
تستغل الثغرة آلية معالجة الويب هوك والملفات في n8n. الويب هوكات ضرورية لاستقبال البيانات من التطبيقات والخدمات عند حدوث أحداث معينة، وتُفعَّل بعد تحليل الطلب القادم باستخدام دالة "parseRequestBody()".
تكمن المشكلة في أن الدالة تقرأ ترويسة "Content-Type" في الطلب دون التحقق الكامل منها، مما يؤدي إلى الالتباس في نوع المحتوى.
آلية الاستغلال
يستخدم محلل رفع الملفات دالة parse() من مكتبة formidable الشهيرة في Node.js، ويخزن النتيجة في متغير عام يسمى "req.body.files". تُعالج هذه البيانات بواسطة الويب هوك الذي يعمل فقط عندما تكون ترويسة "Content-Type" مضبوطة على "multipart/form-data".
في المقابل، يعالج محلل النصوص العادي جسم طلب HTTP ويخزن البيانات المستخلصة في متغير مختلف يسمى "req.body".
ما هي الإصدارات المتأثرة والحل؟
تؤثر الثغرة على جميع إصدارات n8n قبل وحتى 1.65.0. تم معالجة المشكلة في الإصدار 1.121.0 الذي صدر في 18 نوفمبر 2025.
تشمل أحدث الإصدارات الآمنة:
- الإصدار 1.123.10
- الإصدار 2.1.5
- الإصدار 2.2.4
- الإصدار 2.3.0
لماذا هذه الثغرة خطيرة؟
ما يميز CVE-2026-21858 عن غير أنها لا تتطلب أي بيانات اعتماد للوصول. تستغل ثغرة ارتباك في "Content-Type" لاستخراج أسرار حساسة وتزيين الوصول الإداري.
هذه هي الثغرة الرابعة الحرجة التي يكشفها n8n خلال أسبوعين، لكنها الأخطر لأنها لا تتطلب أي نوع من المصادقة.
كيف تحمي نفسك من هذه الثغرة؟
ينصح الخبراء في تيكبامين باتخاذ الخطوات التالية فوراً:
- تحديث n8n إلى أحدث إصدار متاح (2.3.0 أو أحدث)
- مراجعة جميع سير العمل الموجود بحثاً عن نشاط مشبوه
- تدقيق السجلات لاكتشاف أي محاولات اختراق سابقة
- تقييد الوصول إلى واجهة n8n من عناوين IP موثوقة
تُعد هذه الثغرة تذكيراً بأهمية التحديث المستمر للبرمجيات ومراقبة تصريحات الأمن السيبراني بانتظام لحماية الأنظمة من الهجمات المتطورة.
