ثغرة n8n الحرجة تحت الاستغلال مع 24,700 خادم مكشوف

ثغرة n8n الحرجة أدرجتها CISA ضمن الثغرات المستغلة، ما يهدد آلاف الخوادم المكشوفة ويجبر المؤسسات على التحديث الفوري قبل تصاعد الهجمات.ما تفاصيل ثغرة n8n الحرجة ولماذا أدرجتها CISA؟الوكالة الأميركية للأمن السيبراني والبنية التحتية أضافت الثغرة إلى كتالوج KEV بعد رصد استغلال فعلي، وهو أول إدراج لمشكلة في n8n. هذا التصنيف يعني أن المخاطر ليست نظرية وأن التحديث أصبح أولوية ملزمة.الثغرة تتعلق بحقن تعبيرات داخل نظام تقييم سير العمل، ما يسمح بــتنفيذ أوامر عن بعد بصلاحيات خدمة n8n نفسها.المعرّف: CVE-2025-68613درجة الخطورة: 9.9 وفق CVSSالإصلاحات المتاحة: 1.120.4 و1.121.1 و1.122.0النوع: حقن تعبيرات يؤدي إلى تنفيذ تعليمات برمجيةوأشارت الإرشادات إلى أن الإصدارات المتأثرة تسمح بتجاوز ضوابط تنفيذ التعبيرات إذا كانت بيئة n8n متاحة عبر الويب، خصوصاً عند ضعف إعدادات العزل.ما الذي يعنيه إدراجها في KEV؟وفقاً لمتابعة تيكبامين، إدراج الثغرة في KEV يفرض على الجهات الفيدرالية التعامل معها خلال إطار زمني محدد، ويؤكد وجود استغلالات نشطة بالفعل.كيف تؤثر الثغرة على خوادم n8n المكشوفة؟يمكن لمهاجم يملك حساباً موثقاً استغلال الخلل لتنفيذ شيفرة عشوائية بامتيازات عملية n8n، ما يفتح الباب للسيطرة الكاملة على الخادم.من الناحية العملية تتعدد النتائج المحتملة عند نجاح الهجوم.الوصول إلى البيانات الحساسة أو نسخهاتعديل سير العمل وتعطيل الأتمتةتشغيل أوامر نظامية أو تحميل برمجيات خبيثةأرقام الانتشار الحاليةحتى أوائل فبراير 2026 لا توجد تفاصيل علنية عن أسلوب الهجوم، لكن المسح العلني يشير إلى آلاف النسخ غير المحدثة.الإجمالي: أكثر من 24,700 خادم مكشوف على الإنترنتأمريكا الشمالية: أكثر من 12,300 خادمأوروبا: نحو 7,800 خادمغياب تفاصيل علنية عن أسلوب الهجوم يعني أن عمليات الاستغلال قد تكون صامتة، ما يجعل المراقبة وتسجيل الأحداث أكثر أهمية.ماذا نعرف عن الثغرات الجديدة المرتبطة بـ n8n؟كشفت Pillar Security عن ثغرتين حرجتين، وأشارت إلى أن إحداهما جاءت كاستغلالات إضافية مرتبطة بنظام تقييم التعبيرات بعد ثغرة 2025.CVE-2026-27577: درجة 9.4 وُصفت كاستغلالات إضافيةثغرة حرجة أخرى في نفس المكون دون تفاصيل تقنية منشورةهذا التسلسل يوضح أن طبقة التعبيرات تحتاج إلى تدقيق أعمق، خاصة عندما تُستخدم لتشغيل مهام حساسة داخل سير العمل.لماذا تتكرر المشكلات في نظام التعبيرات؟عندما تُمنح التعبيرات قدرة عالية على الوصول للبيئة، تصبح السيطرة على الموارد أصعب، لذا يُنصح بتقليل الصلاحيات وتفعيل العزل القوي في الخوادم.ما الذي يجب على المؤسسات فعله الآن؟الجهات الفيدرالية مطالبة بتحديث n8n قبل 25 مارس 2026 وفق توجيه BOD 22-01، لكن المؤسسات الأخرى ليست بمعزل عن الخطر.الخطوات العاجلة يجب أن تركز على الإغلاق السريع لفجوة الاستغلال وتقليل سطح الهجوم.الترقية إلى الإصدارات المصححة فوراًتقييد الوصول إلى محرر التعبيرات وحسابات الإدارةمراجعة سير العمل والاعتمادات المخزنةتفعيل المراقبة المستمرة وتنبيه السجلاتعزل الخادم عن الشبكات غير الموثوقة قدر الإمكانوتشير تيكبامين إلى أن تجاهل ثغرة n8n الحرجة سيبقي بيئات الأتمتة مكشوفة، لذلك يبقى الإسراع في التحديث والمراقبة المستمرة أفضل خطوة وقائية.