Netcrook Logo
👤 SECPULSE
🗓️ 08 Jan 2026  

«Ni8mare» على مسار سير العمل: ثغرة في n8n تمنح المهاجمين مفاتيح القلعة

العنوان الفرعي: خلل حرج في منصة الأتمتة الشهيرة n8n يعرّض آلاف المؤسسات لاختراق شامل للأنظمة، من دون أي حلّ بديل رسمي في الأفق.

عند مفترق طرق الراحة والكارثة، حوّل سهوٌ واحد في الشيفرة n8n - محبوبة أتمتة سير العمل - إلى بابٍ مفتوح محتمل أمام المهاجمين حول العالم. وعندما أطلق الباحث الأمني دور أتياس على الثغرة المكتشفة حديثًا اسم «Ni8mare»، لم يكن ذلك مبالغة. فبالنسبة لآلاف الشركات التي تعتمد على تكاملات n8n السلسة، الكابوس حقيقي: أداة الأتمتة الأكثر ثقة لديهم قد تصبح ناقلًا لاختراق مدمّر.

تشريح كارثة

الخلل، المُسجّل تحت CVE-2026-21858، كان كامنًا في منطق الويبهوك ومعالجة الملفات في n8n - وهي نقطة تقاطع حرجة لأي منصة أتمتة. وجذر المشكلة كان «التباسًا في نوع المحتوى (Content-Type)». فعندما تلاعب المهاجمون بعملية رفع الملفات، فشل الطرف الخلفي لـ n8n في التحقق من نوع المحتوى المرفوع، وصدّق بشكل أعمى أي شيء يُقدَّم له. وباستغلال هذا التصديق، استطاع المهاجمون توجيه n8n لنسخ أي ملف من الخادم إلى سير عمل، متجاوزين المصادقة بالكامل.

وفي عرضٍ توضيحي أثار قشعريرة في مجتمع الأمن السيبراني، اعترض أتياس طلب HTTP أثناء رفع ملف عبر عقدة Form في n8n. وبمجرد تعديل واحد على نوع المحتوى وجسم طلب مُحكم الصياغة، أجبر n8n على تحميل ملف كلمات المرور الداخلي للخادم - وهو فعلٌ، لو نفّذه طرف خبيث من الخارج، لكان مؤشرًا على اختراق فوري.

التداعيات مذهلة. فمع الوصول إلى قاعدة بيانات n8n الداخلية وملفات الإعدادات، يمكن للمهاجم صياغة ملف تعريف ارتباط للجلسة (session cookie) للتنكر كمسؤول. ومن هناك تتحول أدوات الأتمتة القوية في المنصة إلى أسلحة: يمكن إنشاء سير عمل جديد لتنفيذ أوامر عشوائية، أو سحب بيانات حساسة، أو التوغّل أعمق داخل الأنظمة المتصلة. وبالنظر إلى مدى انتشار n8n - إذ تربط Google Drive وSalesforce ومعالجات الدفع وخطوط CI/CD وغيرها - فإن نطاق الضرر الناتج عن اختراق مثيل واحد هائل.

وما يزيد الأمر سوءًا أنه لا توجد حلول بديلة رسمية. فكما يذكر تنبيه n8n نفسه، يجب على المستخدمين الترقية إلى الإصدار 1.121.0 فورًا. أما إجراءات التخفيف المؤقتة، مثل تقييد نقاط نهاية الويبهوك والنماذج العامة، فليست سوى حلول ترقيعية. ومع صيرورة التفاصيل التقنية علنية الآن، بدأ السباق بين المدافعين والمهاجمين المحتملين.

تأملات من الاختراق

ثغرة «Ni8mare» تذكير صارخ بالمخاطر المتسلسلة في عالمنا الرقمي المترابط. فالأدوات الآلية مثل n8n صُممت لتبسيط الأعمال - لكن ثغرة واحدة يمكن أن تحولها إلى منصات إطلاق مثالية للمهاجمين. وبالنسبة للمؤسسات، لم تعد اليقظة خيارًا؛ فالترقيع ليس مجرد أفضل ممارسة، بل شريان حياة. في المرة القادمة التي تعمل فيها مسارات سير العمل بسلاسة، تذكّر: خلف الكواليس، الأمن هو ما يُبقي الكابوس بعيدًا.

WIKICROOK

  • المحتوى: يشير «المحتوى» في الأمن السيبراني إلى البيانات داخل الملفات أو الاتصالات، مثل النصوص أو الصور، والتي قد تستهدفها التهديدات أو تتطلب الحماية.
  • Webhook: الويبهوك هو طريقة تُمكّن البرمجيات من إرسال البيانات أو التنبيهات فورًا إلى عنوان ويب لتطبيق آخر عند وقوع أحداث محددة.
  • CVSS: نظام CVSS (نظام تسجيل شدة الثغرات الشائع) هو طريقة معيارية لتقييم خطورة العيوب الأمنية، بدرجات من 0.0 إلى 10.0.
  • ملف تعريف ارتباط الجلسة: ملف تعريف ارتباط الجلسة هو ملف مؤقت في متصفحك يُبقيك مسجّل الدخول إلى موقع؛ وإذا سُرق، يمكن أن يتيح للآخرين الوصول إلى حسابك.
  • خط CI/CD: يقوم خط CI/CD بأتمتة اختبار الشيفرة ونشرها، ما يمكّن المطورين من تقديم تحديثات البرامج بسرعة وموثوقية وبأخطاء أقل.
n8n vulnerability cybersecurity automation tools
SECPULSE SECPULSE
SOC Detection Lead
← Back to news