أدى خطأ بالغ الخطورة في منصة الأتمتة الشهيرة n8n إلى ترك ما يقدر بنحو 100000 خادم مفتوحًا على مصراعيها لاستكمال عملية الاستحواذ، بفضل خلل سيء للغاية لدرجة أنه لا يتطلب تسجيل الدخول.
الضعف،”_blank” href=”https://www.cyera.com/research-labs/ni8mare-unauthenticated-remote-code-execution-in-n8n-cve-2026-21858″ rel=”nofollow”>كشف عنها الباحثون في شركة الأمن Cyera، يحمل درجة CVSS 10.0 وتم دبلجته “ni8mare” لسبب وجيه. يسمح الخلل، الذي تم تتبعه باسم CVE-2026-21858، للمهاجم غير المصادق بتنفيذ تعليمات برمجية عشوائية على الأنظمة الضعيفة، مما يوفر بشكل فعال التحكم الكامل في البيئة المتأثرة. لا يوجد حل بديل سوى التصحيح، ونحث المستخدمين على الترقية إلى الإصدار n8n 1.121.0 أو الأحدث.
n8n عبارة عن أداة أتمتة مفتوحة المصدر ذاتية الاستضافة تستخدمها العديد من المؤسسات لدمج تطبيقات الدردشة والنماذج والتخزين السحابي وقواعد البيانات وواجهات برمجة التطبيقات التابعة لجهات خارجية. تدعي أنها قامت بأكثر من 100 مليون عملية سحب من Docker، حيث يستخدمها ملايين المستخدمين وآلاف الشركات لأتمتة كل شيء بدءًا من سير العمل الداخلي وحتى العمليات التي تواجه العملاء.
وفقًا لـ Cyera، يكمن جذر المشكلة في كيفية معالجة n8n لخطافات الويب – وهي الآلية المستخدمة لبدء سير العمل عند وصول البيانات من أنظمة خارجية مثل نماذج الويب أو منصات المراسلة أو خدمات الإشعارات. من خلال استغلال ما يسمى “Content-Type Confusion” المشكلة، يمكن للمهاجم التعامل مع رؤوس HTTP للكتابة فوق المتغيرات الداخلية التي يستخدمها التطبيق. وهذا بدوره يسمح لهم بقراءة الملفات التعسفية من النظام الأساسي وتصعيد الهجوم إلى التنفيذ الكامل للتعليمات البرمجية عن بعد.
بعبارات واضحة، يمكن لأي شخص يمكنه الوصول إلى مثيل n8n ضعيف عبر الشبكة الاستيلاء عليه بالكامل، بدون بيانات اعتماد، ثم المحور في أي أنظمة يتصل بها هذا المثيل.
وكما قال دور أتياس، الباحث في Cyera: “Imagine a large enterprise with 10,000+ employees with one n8n server that anyone uses. A compromised n8n instance doesn’t just mean losing one system – it means handing attackers the keys to everything. API credentials, OAuth tokens, database connections, cloud storage – all centralized in one place.”
- تم تتبع فوضى ماوس Logitech macOS إلى شهادة تطوير منتهية الصلاحية
- Cloudflare تصب الماء البارد على نظرية “غرابة BGP التي سبقت الهجوم الأمريكي على فنزويلا”.
- وكالة الفضاء الأوروبية تستدعي رجال الشرطة بينما يقوم المجرمون برفع 500 غيغابايت من الملفات، على سبيل المثال، الثقب الأمني الأسود لا يزال مفتوحًا
هذه المركزية هي ما يجعل الخلل خطيرًا جدًا. غالبًا ما يتم الوثوق بـ n8n بأسرار عالية القيمة وإمكانية وصول واسعة لأنه يقوم بتنسيق سير العمل عبر البنية الرقمية للمؤسسة.
“The blast radius of a compromised n8n is massive,” حذر اتياس. “n8n is connecting countless systems, your organizational Google Drive, OpenAI API keys, Salesforce data, IAM systems, payment processors, customer databases, CI/CD pipelines, and more. It’s the central nervous system of your automation infrastructure.”
تنسب Cyera الفضل إلى n8n في الاستجابة بسرعة بمجرد الكشف عن المشكلة. وتقول الشركة إنها أبلغت بشكل خاص عن الثغرة الأمنية في 9 نوفمبر 2025، وأكد فريق الأمن في n8n المشكلة في اليوم التالي. تم شحن الإصلاح بهدوء في 18 نوفمبر كجزء من الإصدار 1.121.0، قبل أسابيع من تعيين معرف CVE للخطأ علنًا هذا الأسبوع.
لم يستجب n8n على الفور السجلأسئلة.
تم إصدار التصحيح بدون ضجة كبيرة، مما يعني أن بعض المؤسسات ربما لا تزال تقوم بتشغيل إصدارات ضعيفة – خاصة في البيئات المستضافة ذاتيًا حيث لا تتم دائمًا قراءة النصائح الإرشادية. ونظرًا لمدى انتشار استخدام البرنامج، فإن تركه بدون إصلاح يعد بمثابة دعوة مفتوحة للمهاجمين الذين يسعون إلى تحقيق أهداف سريعة وعالية القيمة. ®