ثغرة n8n الحرجة CVE-2026-25049 تتيح تنفيذ أوامر

ثغرة n8n الحرجة CVE-2026-25049 تسمح بتنفيذ أوامر على الخادم عبر سير عمل خبيث، ما يهدد المؤسسات غير المحدثة. ويتزايد الخطر مع تفعيل webhooks العامة.

ما هي ثغرة n8n CVE-2026-25049؟

تستهدف الثغرة منصة n8n لأتمتة سير العمل وتمنح مهاجماً مصادقاً القدرة على تنفيذ أوامر على النظام عبر تعبيرات داخل معلمات الـworkflow. تم تقييمها بدرجة CVSS تبلغ 9.4، ما يضعها ضمن أخطر العيوب الأمنية هذا العام.

المنصة تستخدم لبناء تكاملات بين الخدمات السحابية وقواعد البيانات، ما يجعلها هدفاً جذاباً للهجمات. أي خلل في التحكم بالتعبيرات قد يحول الأتمتة إلى نقطة اختراق مباشرة.

من هم الأكثر تعرضاً؟

الخطر يظهر عندما تعمل المنصة بإصدارات غير محدثة وبعد منح صلاحيات إنشاء أو تعديل سير العمل لمستخدمين أو فرق داخلية.

• إصدارات n8n التي لم تطبق تصحيح ديسمبر 2025
• حسابات لديها صلاحية إنشاء أو تعديل workflows
• خوادم تستضيف n8n دون عزل قوي أو مراقبة

كيف تم تجاوز التصحيح السابق في n8n؟

العيب الجديد يعد تجاوزاً لمعالجة CVE-2025-68613 ذات درجة 9.9، حيث تبيّن أن آليات تنقية التعبيرات لم تغلق كل المسارات. ووفقاً لمتابعة تيكبامين، فإن الثغرتين ترتبطان بنفس نقطة الضعف في تقييم التعبيرات داخل بيئة sandbox.

باحثون شاركوا في الكشف

تم الإشادة بأكثر من 10 باحثين أمنيين ساهموا في الكشف والتحقق، من أبرزهم:

• Fatih Çelik
• Cris Staicu من Endor Labs
• Eilon Cohen من Pillar Security
• Sandeep Kamble من SecureLayer7

تشير التحليلات الفنية إلى أن الاستغلال يعتمد على تجاوز قيود الـsandbox وفتح الطريق لتشغيل تعليمات نظام غير مقصودة.

أحد السيناريوهات يوضح أن المهاجم ينشئ webhook عاماً بلا مصادقة ثم يضيف سطر JavaScript باستخدام destructuring داخل أحد العقد. عند تفعيل سير العمل يمكن لأي شخص على الإنترنت تشغيل الـwebhook لتنفيذ الأوامر عن بُعد.

ما تأثير الثغرة على الخوادم والبيانات؟

الاستغلال الناجح قد يؤدي إلى السيطرة على الخادم وسرقة بيانات الاعتماد وتسريب المعلومات الحساسة، إضافة إلى زرع أبواب خلفية دائمة. لذلك تُعد المخاطر التشغيلية والامتثال عالية، خصوصاً في البيئات التي تدير تكاملات متعددة.

• تنفيذ أوامر على نظام التشغيل بامتيازات الخدمة
• سرقة مفاتيح API وبيانات اعتماد داخلية
• إتاحة بقاء طويل المدى عبر backdoors

لماذا تزيد الخطورة مع webhooks؟

عند تفعيل webhook عام يصبح مسار التنفيذ مكشوفاً، ما يسمح لجهات خارجية باستدعاء سير العمل بدون قيود. هذا يرفع احتمالات الهجوم الآلي والاستغلال واسع النطاق.

• سهولة الوصول دون مصادقة
• إمكانية دمج حمولة تنفيذ أوامر داخل عقد سير العمل

كيف تحمي مؤسستك من ثغرة n8n؟

توصي أفضل الممارسات بتحديث المنصة فوراً ومراجعة كل سير عمل يحتوي على تعبيرات مخصصة أو webhooks عامة. كما يُنصح بتقليل الصلاحيات وربط الوصول بمصادقة قوية.

• تطبيق أحدث تصحيحات n8n فور صدورها
• تعطيل webhooks العامة غير الضرورية
• مراجعة workflows بحثاً عن تعبيرات غير موثوقة
• تفعيل المراقبة والتنبيه على أوامر النظام المشبوهة

تشدد تيكبامين على أن التعامل العاجل مع ثغرة n8n يقلل فرص الاختراق ويحمي البيانات الحساسة، خاصة في البيئات التي تعتمد الأتمتة بشكل واسع.