ثغرة n8n الحرجة تحت الاستغلال مع 24,700 خادم مكشوف

ثغرة n8n الحرجة أدرجتها CISA ضمن الثغرات المستغلة، ما يهدد آلاف الخوادم المكشوفة ويجبر المؤسسات على التحديث الفوري قبل تصاعد الهجمات.

ما تفاصيل ثغرة n8n الحرجة ولماذا أدرجتها CISA؟

الوكالة الأميركية للأمن السيبراني والبنية التحتية أضافت الثغرة إلى كتالوج KEV بعد رصد استغلال فعلي، وهو أول إدراج لمشكلة في n8n. هذا التصنيف يعني أن المخاطر ليست نظرية وأن التحديث أصبح أولوية ملزمة.

الثغرة تتعلق بحقن تعبيرات داخل نظام تقييم سير العمل، ما يسمح بــتنفيذ أوامر عن بعد بصلاحيات خدمة n8n نفسها.

• المعرّف: CVE-2025-68613
• درجة الخطورة: 9.9 وفق CVSS
• الإصلاحات المتاحة: 1.120.4 و1.121.1 و1.122.0
• النوع: حقن تعبيرات يؤدي إلى تنفيذ تعليمات برمجية

وأشارت الإرشادات إلى أن الإصدارات المتأثرة تسمح بتجاوز ضوابط تنفيذ التعبيرات إذا كانت بيئة n8n متاحة عبر الويب، خصوصاً عند ضعف إعدادات العزل.

ما الذي يعنيه إدراجها في KEV؟

وفقاً لمتابعة تيكبامين، إدراج الثغرة في KEV يفرض على الجهات الفيدرالية التعامل معها خلال إطار زمني محدد، ويؤكد وجود استغلالات نشطة بالفعل.

كيف تؤثر الثغرة على خوادم n8n المكشوفة؟

يمكن لمهاجم يملك حساباً موثقاً استغلال الخلل لتنفيذ شيفرة عشوائية بامتيازات عملية n8n، ما يفتح الباب للسيطرة الكاملة على الخادم.

من الناحية العملية تتعدد النتائج المحتملة عند نجاح الهجوم.

• الوصول إلى البيانات الحساسة أو نسخها
• تعديل سير العمل وتعطيل الأتمتة
• تشغيل أوامر نظامية أو تحميل برمجيات خبيثة

أرقام الانتشار الحالية

حتى أوائل فبراير 2026 لا توجد تفاصيل علنية عن أسلوب الهجوم، لكن المسح العلني يشير إلى آلاف النسخ غير المحدثة.

• الإجمالي: أكثر من 24,700 خادم مكشوف على الإنترنت
• أمريكا الشمالية: أكثر من 12,300 خادم
• أوروبا: نحو 7,800 خادم

غياب تفاصيل علنية عن أسلوب الهجوم يعني أن عمليات الاستغلال قد تكون صامتة، ما يجعل المراقبة وتسجيل الأحداث أكثر أهمية.

ماذا نعرف عن الثغرات الجديدة المرتبطة بـ n8n؟

كشفت Pillar Security عن ثغرتين حرجتين، وأشارت إلى أن إحداهما جاءت كاستغلالات إضافية مرتبطة بنظام تقييم التعبيرات بعد ثغرة 2025.

• CVE-2026-27577: درجة 9.4 وُصفت كاستغلالات إضافية
• ثغرة حرجة أخرى في نفس المكون دون تفاصيل تقنية منشورة

هذا التسلسل يوضح أن طبقة التعبيرات تحتاج إلى تدقيق أعمق، خاصة عندما تُستخدم لتشغيل مهام حساسة داخل سير العمل.

لماذا تتكرر المشكلات في نظام التعبيرات؟

عندما تُمنح التعبيرات قدرة عالية على الوصول للبيئة، تصبح السيطرة على الموارد أصعب، لذا يُنصح بتقليل الصلاحيات وتفعيل العزل القوي في الخوادم.

ما الذي يجب على المؤسسات فعله الآن؟

الجهات الفيدرالية مطالبة بتحديث n8n قبل 25 مارس 2026 وفق توجيه BOD 22-01، لكن المؤسسات الأخرى ليست بمعزل عن الخطر.

الخطوات العاجلة يجب أن تركز على الإغلاق السريع لفجوة الاستغلال وتقليل سطح الهجوم.

• الترقية إلى الإصدارات المصححة فوراً
• تقييد الوصول إلى محرر التعبيرات وحسابات الإدارة
• مراجعة سير العمل والاعتمادات المخزنة
• تفعيل المراقبة المستمرة وتنبيه السجلات
• عزل الخادم عن الشبكات غير الموثوقة قدر الإمكان

وتشير تيكبامين إلى أن تجاهل ثغرة n8n الحرجة سيبقي بيئات الأتمتة مكشوفة، لذلك يبقى الإسراع في التحديث والمراقبة المستمرة أفضل خطوة وقائية.