كشف باحثون في الأمن السيبراني عن ثغرتين جديدتين في منصة n8n الخاصة بأتمتة سير العمل، إحداهما بالغة الخطورة وتسمح بتنفيذ أوامر عن بُعد (Remote Code Execution) من قبل مستخدمين مصادق عليهم. هذه الثغرات، التي اكتشفها فريق JFrog Security Research، تؤكد هشاشة آليات العزل (Sandbox) عند التعامل مع لغات برمجة ديناميكية مثل JavaScript وPython.
تفاصيل الثغرات الأمنية
- CVE-2026-1470 (درجة خطورة 9.9): ثغرة حقن عبر دالة eval تتيح للمهاجم تجاوز آلية العزل الخاصة بتعابير JavaScript، وتنفيذ أوامر كاملة على العقدة الرئيسية للنظام.
- CVE-2026-0863 (درجة خطورة 8.5): ثغرة مشابهة تتيح تجاوز قيود العزل في وحدة تنفيذ المهام بلغة Python، ما يسمح بتشغيل تعليمات برمجية عشوائية على نظام التشغيل الأساسي.
استغلال هذه الثغرات يمكّن المهاجم من السيطرة على كامل بيئة n8n، حتى في وضع التشغيل الداخلي (Internal Mode)، وهو ما حذرت منه وثائق المنصة سابقاً باعتباره غير آمن في بيئات الإنتاج، داعيةً إلى استخدام الوضع الخارجي (External Mode) لضمان العزل بين عمليات النظام والمُنفّذ.
تداعيات على المؤسسات
منصة n8n تُستخدم على نطاق واسع لأتمتة سير العمل المرتبط بالذكاء الاصطناعي، ما يمنحها وصولاً إلى أدوات وبيانات حساسة تشمل واجهات LLM، بيانات المبيعات، وأنظمة إدارة الهوية الداخلية. أي اختراق ناجح لهذه الثغرات يمنح المهاجم ما يشبه “المفتاح العظمي” للتحكم في البنية التحتية الكاملة للمؤسسة، وفقاً لتصريحات فريق JFrog.
التحديثات الموصى بها
لمعالجة الثغرات، أوصت الشركة بتحديث المنصة إلى الإصدارات التالية:
- بالنسبة لـ CVE-2026-1470: الإصدارات 1.123.17، 2.4.5، أو 2.5.1.
- بالنسبة لـ CVE-2026-0863: الإصدارات 1.123.14، 2.3.5، أو 2.4.2.
ويأتي هذا التطور بعد أسابيع قليلة من إعلان مختبرات Cyera Research Labs عن ثغرة قصوى الخطورة (CVE-2026-21858 والمعروفة باسم Ni8mare)، والتي تسمح لمهاجم غير مصادق بالسيطرة الكاملة على الأنظمة المعرضة للخطر. وبحسب بيانات مؤسسة Shadowserver Foundation، لا يزال أكثر من 39 ألف نظام n8n عرضة لهذه الثغرة حتى 27 يناير 2026.
تحديات العزل في لغات البرمجة الديناميكية
أوضح الباحث Nathan Nehorai أن هذه الثغرات تكشف صعوبة تأمين بيئات العزل عند التعامل مع لغات مثل JavaScript وPython، حيث يمكن استغلال خصائص نادرة أو مهملة في المفسر، إلى جانب سلوكيات معالجة الاستثناءات، لتجاوز القيود المفروضة وتحقيق تنفيذ أوامر عن بُعد.
