CVE-2025-68668 ثغرة أمنية في n8n
كشف باحثون في مجال الأمن السيبراني عن ثغرة أمنية خطيرة جديدة في منصة n8n، وهي منصة أتمتة سير العمل مفتوحة المصدر الشهيرة. قد تسمح هذه الثغرة لمهاجم مُصادق عليه بتنفيذ أوامر نظام تشغيل عشوائية على الخادم الأساسي، مما قد يؤدي إلى اختراق النظام بالكامل.
تم تتبع هذه المشكلة تحت رقم CVE-2025-68668، وحصلت على درجة خطورة 9.9 وفقًا لنظام CVSS، مما يضعها ضمن فئة الخطورة الحرجة. وقد صُنفت على أنها خلل في آلية الحماية.
جدول المحتويات
من هم المعرضون للخطر ولماذا يُعدّ ذلك مهماً؟
تؤثر هذه الثغرة الأمنية على إصدارات n8n من 1.0.0 إلى 2.0.0 (ولكن ليس ضمنها). يمكن لأي مستخدم مصادق عليه لديه إذن بإنشاء أو تعديل سير العمل استغلال هذه الثغرة لتنفيذ أوامر على مستوى النظام بنفس امتيازات عملية n8n.
تكمن نقطة الضعف في ثغرة أمنية في بيئة بايثون البرمجية تعتمد على مكتبة Pyodide. وباستغلال هذه الثغرة، يستطيع المهاجم تجاوز بيئة التنفيذ المقصودة والتفاعل مباشرةً مع نظام التشغيل المضيف.
تم إصلاح المشكلة بالكامل في الإصدار 2.0.0 من n8n.
تحليل تقني: الهروب من بيئة بايثون المعزولة
بحسب التقرير الرسمي، كانت ضوابط الحماية في بيئة Python Code Node غير كافية، مما مكّن المهاجمين من تجاوز القيود وتنفيذ أوامر عشوائية. وهذا يزيد بشكل كبير من مستوى المخاطر التي تواجه الأنظمة المتأثرة، لا سيما في البيئات التي يمكن لعدة مستخدمين فيها تصميم أو تعديل سير العمل.
تحسينات الأمان والإصلاح طويل الأمد لـ n8n
استجابةً لمخاوف أوسع نطاقًا بشأن الحماية المعزولة، قدمت n8n في الإصدار 1.111.0 نموذج تنفيذ بايثون أصليًا قائمًا على مُشغّل المهام، كميزة اختيارية توفر عزلًا أكثر أمانًا. يمكن تفعيل هذا النموذج باستخدام متغيرات البيئة N8N_RUNNERS_ENABLED وN8N_NATIVE_PYTHON_RUNNER.
مع إصدار النسخة 2.0.0، أصبح هذا التنفيذ الأكثر أمانًا مفعلًا بشكل افتراضي، مما يؤدي فعليًا إلى إغلاق الثغرة الأمنية.
إجراءات التخفيف الموصى بها للأنظمة غير المحدثة
إلى حين إمكانية الترقية إلى الإصدار 2.0.0، تنصح شركة n8n بتطبيق الضمانات المؤقتة التالية:
قم بتعطيل عقدة الكود بالكامل عن طريق ضبط الإعدادات التالية :
NODES_EXCLUDE: ['n8n-nodes-base.code']
قم بإيقاف دعم لغة بايثون في عقدة الكود عن طريق ضبط الإعدادات التالية :
N8N_PYTHON_ENABLED=false
فرض استخدام بيئة بايثون المعزولة القائمة على مُشغّل المهام عبر :
N8N_RUNNERS_ENABLED و N8N_NATIVE_PYTHON_RUNNER
هذه الخطوات تقلل بشكل كبير من خطر الهروب من بيئة الحماية وتنفيذ الأوامر.
جزء من اتجاه مثير للقلق
يأتي هذا الكشف عقب اكتشاف ثغرة أمنية خطيرة أخرى في نظام n8n، وهي CVE-2025-68613 (المصنفة أيضاً بدرجة 9.9 وفقاً لمعيار CVSS)، والتي قد تؤدي بدورها إلى تنفيذ تعليمات برمجية ضارة في ظروف معينة. وتؤكد هاتان المشكلتان معاً على الحاجة المُلحة إلى أن يُعطي المسؤولون الأولوية للتحديثات ويُقيدوا صلاحيات سير العمل.
