تم الكشف عن ثغرة أمنية حرجة جديدة في منصة أتمتة المهام الشهيرة n8n تحمل المعرف CVE-2026-25049 بدرجة خطورة 9.4 من 10 وهي ثغرة تسمح بتنفيذ أوامر نظام مباشرة على السيرفر المستضيف للمنصة عبر Workflows خبيثة مصممة خصيصًا ما قد يؤدي إلى السيطرة الكاملة على البيئة التشغيلية وسرقة البيانات والمفاتيح الحساسة
الثغرة ناتجة عن فشل في تعقيم المدخلات داخل نظام تقييم التعبيرات Expression Evaluation حيث تمكن المهاجمون من تجاوز الحماية التي أضيفت لإصلاح ثغرة سابقة شديدة الخطورة ظهرت نهاية 2025 ما يجعل الثغرتين عمليًا امتدادًا لبعضهما إذ تسمح الثغرة الجديدة بالهروب من Sandbox التعبيرات والوصول لتنفيذ أوامر النظام مباشرة عبر JavaScript داخل إعدادات Workflow
الهجوم تقنيًا يعتمد على قدرة مستخدم لديه صلاحية إنشاء أو تعديل Workflows على إدخال تعبير JavaScript مصمم بعناية داخل معاملات Workflow وباستخدام بنية destructuring في جافاسكربت يمكن حقن أوامر نظام يتم تنفيذها على السيرفر عند تشغيل Workflow وإذا تم إنشاء Webhook عام بدون مصادقة يصبح من الممكن لأي شخص على الإنترنت استدعاء الرابط وتشغيل الأوامر عن بعد دون تسجيل دخول
المشكلة التقنية الأساسية ناتجة عن اختلاف بين نظام الأنواع TypeScript أثناء الترجمة وسلوك JavaScript أثناء التنفيذ حيث يفترض النظام أن القيم المدخلة ستكون نصوصًا فقط لكن عند التشغيل يمكن تمرير كائنات أو رموز أو مصفوفات تتجاوز التحقق مما يسمح بتخطي التعقيم وتنفيذ أوامر خارج حدود الأمان المخصصة
عند استغلال الثغرة يمكن للمهاجم الوصول إلى مفاتيح API ومفاتيح مزودي السحابة وكلمات مرور قواعد البيانات وTokens المصادقة OAuth كما يمكنه قراءة ملفات النظام الداخلية والانتقال جانبيًا إلى حسابات سحابية مرتبطة أو التحكم في تدفقات الذكاء الاصطناعي داخل المنصة إضافة إلى تثبيت أبواب خلفية دائمة للحفاظ على الوصول طويل الأمد
الخطورة ترتفع بشكل كبير عند دمج الثغرة مع ميزة Webhooks العامة حيث يمكن إنشاء Workflow يحتوي على Webhook مفتوح للجمهور مرتبط بعقدة تحتوي على كود تنفيذ أوامر وبمجرد تفعيل Workflow يصبح السيرفر معرضًا للتنفيذ عن بعد Remote Code Execution دون أي خطوات إضافية
الإصدارات المتأثرة تشمل جميع النسخ قبل 1.123.17 وقبل 2.5.2 وقد تم إصدار تحديثات أمنية لإصلاح المشكلة إلى جانب الكشف عن أكثر من 11 ثغرة إضافية بعضها مصنف حرج تشمل ثغرات حقن أوامر نظام عبر Git node وثغرات XSS في واجهة الويب وثغرات TOCTOU في التحكم بالملفات تسمح بقراءة ملفات حساسة أو الاستيلاء على حسابات المستخدمين وثغرات في Python Code node تسمح بالهروب من بيئة Python المعزولة وتنفيذ كود خارج الحدود المسموح بها
هذه الثغرات تكشف نقطة ضعف جوهرية في منصات الأتمتة الحديثة حيث تمنح المنصة صلاحيات واسعة للتفاعل مع النظام والملفات والشبكة ما يجعل أي خطأ بسيط في التحقق أو التعقيم يتحول مباشرة إلى سيطرة كاملة على البيئة التشغيلية خصوصًا عند تشغيل المنصة بصلاحيات مرتفعة أو ربطها بخدمات سحابية وقواعد بيانات وأنظمة ذكاء اصطناعي
التوصيات التقنية الأساسية تشمل التحديث الفوري لأحدث إصدار تقييد صلاحيات إنشاء وتعديل Workflows للمستخدمين الموثوقين فقط تشغيل المنصة داخل بيئة معزولة بصلاحيات نظام محدودة تفعيل قيود الشبكة والجدار الناري ومراجعة Workflows الحالية بحثًا عن Webhooks عامة أو تعبيرات JavaScript غير موثوقة لأن منصات الأتمتة التي تتحكم في تنفيذ الأوامر والملفات تحتاج طبقات تحقق متعددة على مستوى وقت التشغيل وليس فقط أثناء كتابة الكود.
