أضافت وكالة الأمن السيبراني والبنية التحتية الأميركية (CISA) ثغرة حرجة في منصة n8n إلى قائمة الثغرات المستغلة فعلياً (KEV catalog) بعد توفر أدلة على استغلالها في هجمات نشطة. الثغرة، التي تحمل الرمز CVE-2025-68613 وتقييم خطورة 9.9 وفق مقياس CVSS، تتعلق بحقن تعبيرات داخل نظام تقييم سير العمل، ما يسمح بتنفيذ تعليمات برمجية عن بُعد (RCE).
تفاصيل الثغرة وتأثيرها
بحسب CISA، فإن الثغرة ناجمة عن “ضعف في التحكم بالموارد البرمجية المُدارة ديناميكياً”، ما يتيح للمهاجم المصادق تنفيذ تعليمات عشوائية بصلاحيات عملية n8n.
نجاح الاستغلال قد يؤدي إلى سيطرة كاملة على النظام، بما في ذلك الوصول إلى بيانات حساسة، تعديل سير العمل، أو تنفيذ عمليات على مستوى النظام.
تمت معالجة الثغرة في ديسمبر 2025 عبر الإصدارات 1.120.4 و1.121.1 و1.122.0، وهي أول ثغرة في n8n تُدرج في قائمة KEV.
حجم التعرض عالمياً
بيانات مؤسسة Shadowserver أظهرت وجود أكثر من 24,700 نسخة غير مُحدّثة مكشوفة على الإنترنت حتى فبراير 2026، بينها أكثر من 12,300 في أميركا الشمالية و7,800 في أوروبا. هذا العدد الكبير من الأنظمة غير المحدثة يزيد من فرص نجاح الهجمات ويضاعف المخاطر على المؤسسات.
ثغرات إضافية في المنصة
إلى جانب CVE-2025-68613، كشفت شركة Pillar Security عن ثغرتين إضافيتين في n8n، إحداهما CVE-2026-27577 بتقييم خطورة 9.4، وهي مرتبطة أيضاً بنظام تقييم سير العمل، ما يشير إلى استمرار وجود نقاط ضعف في نفس المكون البرمجي.
إلزام الوكالات الفيدرالية بالتحديث
أمرت الوكالات الفيدرالية المدنية التنفيذية (FCEB) بتحديث نسخ n8n لديها قبل 25 مارس 2026، وفقاً لتوجيه تشغيلي ملزم (BOD 22-01) الصادر في نوفمبر 2021، وذلك لضمان سد الثغرة ومنع استغلالها.
