هشدار امنیتی در پلتفرم اتوماسیون n8n

پژوهشگران امنیت سایبری چند آسیب‌پذیری بحرانی در پلتفرم اتوماسیون workflow n8n شناسایی کرده‌اند که می‌تواند به اجرای کد از راه دور، دسترسی غیرمجاز به سیستم و افشای اعتبارنامه‌های حساس منجر شود. مهم‌ترین این نقص‌ها با شناسه‌های CVE-2026-27577 و CVE-2026-27493 ثبت شده‌اند و امکان فرار از sandbox و تزریق expression را فراهم می‌کنند. در صورت ترکیب این دو آسیب‌پذیری، مهاجم قادر خواهد بود دستورات دلخواه را روی سرور اجرا کند و به کلید رمزنگاری سیستم و اطلاعات حساسی مانند کلیدهای API، توکن‌های OAuth و رمزهای پایگاه داده دسترسی پیدا کند. این مشکلات در نسخه‌های جدید n8n اصلاح شده‌اند.

پژوهشگران امنیت سایبری از کشف مجموعه‌ای از آسیب‌پذیری‌های بحرانی در پلتفرم متن‌باز n8n خبر داده‌اند؛ ابزاری که برای اتوماسیون workflowها، اتصال سرویس‌های نرم‌افزاری و اجرای فرآیندهای خودکار در سازمان‌ها استفاده می‌شود. این نقص‌ها می‌توانند به مهاجمان اجازه دهند دستورات دلخواه را روی سرور اجرا کنند، کنترل سیستم را در اختیار بگیرند و حتی به داده‌های حساس ذخیره‌شده در محیط n8n دسترسی پیدا کنند.

این آسیب‌پذیری‌ها توسط پژوهشگر امنیتی Eilon Cohen از شرکت Pillar Security کشف و گزارش شده‌اند. بررسی‌ها نشان می‌دهد برخی از این نقص‌ها به‌تنهایی خطرناک هستند، اما در صورت ترکیب با یکدیگر می‌توانند به اجرای کامل کد از راه دور (Remote Code Execution) در میزبان n8n منجر شوند.

یکی از مهم‌ترین این نقص‌ها CVE-2026-27577 است که امتیاز ۹.۴ در سیستم رتبه‌بندی CVSS دریافت کرده است. این آسیب‌پذیری ناشی از فرار از Expression Sandbox در کامپایلر expressionهای n8n است. در معماری n8n، expressionها برای پردازش داده‌ها در workflowها استفاده می‌شوند و باید در یک محیط sandbox اجرا شوند تا از دسترسی مستقیم به سیستم جلوگیری شود.

با این حال، بررسی‌های امنیتی نشان داده‌اند که یک نقص در فرآیند بازنویسی AST در کامپایلر expression باعث می‌شود برخی دستورات بدون اعمال کنترل‌های امنیتی مناسب عبور کنند. در نتیجه، یک کاربر احراز هویت‌شده که اجازه ایجاد یا ویرایش workflow داشته باشد می‌تواند expression مخربی ایجاد کند که در نهایت دستورات سیستم‌عامل را اجرا کند.

آسیب‌پذیری دوم که حتی خطرناک‌تر ارزیابی شده CVE-2026-27493 است. این نقص امتیاز ۹.۵ دریافت کرده و مربوط به نحوه ارزیابی expressionها در Form Nodeهای n8n است. در این حالت یک خطای منطقی در فرآیند پردازش داده‌ها باعث می‌شود expressionها دو بار ارزیابی شوند. این موضوع امکان Expression Injection را فراهم می‌کند.

یکی از نکات مهم در این آسیب‌پذیری این است که endpointهای فرم در n8n به‌طور پیش‌فرض عمومی هستند و نیازی به احراز هویت ندارند. این بدان معناست که مهاجم می‌تواند از طریق یک فرم عمومی مانند «Contact Us» داده‌ای مخرب ارسال کند. برای مثال، مهاجم می‌تواند payloadی را در فیلدی مانند Name قرار دهد که در نهایت به اجرای دستور shell در سرور منجر شود.

کارشناسان امنیتی هشدار داده‌اند که ترکیب این دو نقص می‌تواند بسیار خطرناک باشد. در یک سناریوی حمله، مهاجم ابتدا از آسیب‌پذیری CVE-2026-27493 برای تزریق expression استفاده می‌کند و سپس با بهره‌برداری از CVE-2026-27577 از sandbox خارج می‌شود. نتیجه این فرآیند اجرای کامل کد از راه دور روی سرور n8n خواهد بود.

تحلیل‌های امنیتی نشان می‌دهد در صورت موفقیت چنین حمله‌ای، مهاجم می‌تواند به متغیر محیطی N8N_ENCRYPTION_KEY دسترسی پیدا کند. این متغیر برای رمزنگاری اعتبارنامه‌های ذخیره‌شده در پایگاه داده n8n استفاده می‌شود. اگر مهاجم به این کلید دسترسی پیدا کند، می‌تواند تمام داده‌های رمزنگاری‌شده را رمزگشایی کند.

این داده‌ها می‌توانند شامل اطلاعات بسیار حساسی باشند، از جمله:

• کلیدهای دسترسی AWS
• رمز عبور پایگاه‌های داده
• توکن‌های OAuth
• کلیدهای API
• اطلاعات اتصال به سرویس‌های ابری و سامانه‌های سازمانی

در کنار این دو نقص، دو آسیب‌پذیری بحرانی دیگر نیز در n8n شناسایی شده‌اند که آن‌ها نیز امکان اجرای کد دلخواه را فراهم می‌کنند.

نقص اول CVE-2026-27495 است که امتیاز ۹.۴ دارد. این آسیب‌پذیری به یک خطای Code Injection در sandbox مربوط به JavaScript Task Runner مرتبط است. در این حالت یک کاربر احراز هویت‌شده که اجازه ویرایش workflow داشته باشد می‌تواند کدی ایجاد کند که از محدوده sandbox خارج شود و در سطح سیستم اجرا شود.

آسیب‌پذیری دیگر CVE-2026-27497 است که آن نیز امتیاز ۹.۴ دریافت کرده است. این نقص در Merge Node و حالت اجرای SQL Query Mode رخ می‌دهد. در این حالت مهاجم می‌تواند دستورات دلخواه اجرا کند و حتی فایل‌هایی را روی سرور n8n ایجاد یا تغییر دهد.

این آسیب‌پذیری‌ها نسخه‌های Self Hosted و Cloud پلتفرم n8n را تحت تأثیر قرار می‌دهند. نسخه‌های زیر در معرض خطر قرار دارند:

• نسخه‌های کمتر از 1.123.22
• نسخه‌های 2.0.0 تا قبل از 2.9.3
• نسخه‌های 2.10.0 تا قبل از 2.10.1

توسعه‌دهندگان n8n اعلام کرده‌اند این مشکلات در نسخه‌های زیر برطرف شده‌اند:

• نسخه 2.10.1
• نسخه 2.9.3
• نسخه 1.123.22

برای سازمان‌هایی که امکان نصب فوری بروزرسانی‌ها را ندارند، توسعه‌دهندگان چند اقدام موقت برای کاهش ریسک پیشنهاد کرده‌اند.

از جمله این اقدامات می‌توان به محدود کردن دسترسی ایجاد و ویرایش workflow به کاربران کاملاً مورد اعتماد اشاره کرد. همچنین توصیه شده n8n در محیطی اجرا شود که دسترسی‌های سیستم‌عامل محدود باشد و سطح دسترسی شبکه به سرور کنترل شود.

برای کاهش خطر مربوط به Form Node نیز می‌توان این قابلیت را غیرفعال کرد. این کار با افزودن n8n-nodes-base.form به متغیر محیطی NODES_EXCLUDE انجام می‌شود. همچنین امکان غیرفعال کردن Form Trigger Node با افزودن n8n-nodes-base.formTrigger به همین متغیر وجود دارد.

برای آسیب‌پذیری مربوط به JavaScript Task Runner نیز پیشنهاد شده است حالت اجرای external runner mode فعال شود. این کار با تنظیم متغیر محیطی N8N_RUNNERS_MODE=external انجام می‌شود.

در مورد نقص Merge Node نیز می‌توان این node را با افزودن n8n-nodes-base.merge به متغیر محیطی NODES_EXCLUDE غیرفعال کرد.

با این حال توسعه‌دهندگان n8n تأکید کرده‌اند که این اقدامات تنها راهکارهای موقت هستند و نمی‌توانند به‌طور کامل خطر را از بین ببرند. بهترین راهکار امنیتی همچنان نصب نسخه‌های اصلاح‌شده و به‌روزرسانی سیستم است.

در زمان انتشار گزارش، هیچ مدرکی مبنی بر سوءاستفاده فعال از این آسیب‌پذیری‌ها در حملات واقعی منتشر نشده است. با این حال، کارشناسان امنیت سایبری هشدار داده‌اند که ماهیت این نقص‌ها و سطح دسترسی‌ای که فراهم می‌کنند می‌تواند آن‌ها را به هدفی جذاب برای مهاجمان تبدیل کند.

با توجه به رشد سریع استفاده از ابزارهای اتوماسیون workflow در محیط‌های سازمانی، امنیت چنین پلتفرم‌هایی اهمیت زیادی پیدا کرده است. ابزارهایی مانند n8n معمولاً به سرویس‌های متعدد سازمانی متصل هستند و در صورت نفوذ می‌توانند به دروازه‌ای برای دسترسی به زیرساخت‌های حیاتی تبدیل شوند.