CVE-2025-61914

چکیده

آسیب‌پذیری XSS ذخیره‌شده (Stored Cross-Site Scripting) در نود Respond to Webhook پلتفرم متن‌باز اتوماسیون گردش کار n8n شناسایی شده است. در نسخه‌های آسیب‌پذیر، پاسخ‌های HTML حاوی اسکریپت‌های اجرایی ممکن است به جای اجرای ایمن در iframe sandbox، مستقیماً در پنجره اصلی ویرایشگر اجرا شوند. این ضعف به کاربران احراز هویت‌شده با مجوز ایجاد گردش‌کار اجازه می‌دهد جاوااسکریپت دلخواه را در زمینه رابط کاربری n8n اجرا کرده و بر داده‌ها، گردش‌کارها و عملکرد محیط تأثیر بگذارند.

توضیحات

آسیب‌پذیری CVE-2025-61914 ناشی از خنثی‌سازی نادرست ورودی در تولید صفحات وب مطابق با CWE-79 در نود Respond to Webhook پلتفرم متن‌باز n8n است و نسخه‌های پیش از 1.114.0 را تحت تاثیر قرار می‌دهد. نود Respond to Webhook به کاربران اجازه می‌دهد پاسخ‌های سفارشی (Custom Responses) شامل HTML را به درخواست‌های Webhook ارسال کنند. از نسخه 1.103.0، برای جلوگیری از اجرای اسکریپت‌های مخرب، پاسخ‌های HTML در یک محیط ایزوله (iframe sandbox) نمایش داده می‌شوند. با این حال، در نسخه‌های آسیب‌پذیر، این مکانیزم به‌درستی اعمال نمی‌شود و اسکریپت‌های تزریق‌شده می‌توانند خارج از محیط ایزوله و مستقیماً در پنجره اصلی (Top-level Window) ویرایشگر n8n اجرا شوند. این عملکرد به یک کاربر احراز هویت‌شده با مجوز ایجاد یا ویرایش گردش‌کار (Workflow Creation Permissions) اجازه می‌دهد اسکریپت‌های جاوااسکریپت مخرب را در پاسخ HTML نود قرار دهد. هنگامی که کاربر دیگری (معمولاً ادمین یا کاربر معتبر) گردش‌کار را باز کند یا Webhook را تست نماید، این اسکریپت در بستر نشست کاربری (User Session Context) اجرا می‌شود. بهره‌برداری از این ضعف نیازمند تعامل کاربر است اما حمله از راه دور و با دسترسی پایین انجام می‌شود.

این آسیب‌پذیری تاثیر قابل توجهی بر محرمانگی و یکپارچگی داده‌ها دارد. مهاجم می‌تواند به گردش‌کارهای حساس و تاریخچه اجرای آن‌ها دسترسی پیدا کند، گردش‌کارها را تغییر داده یا حذف کند و کدها یا منطق مخربی را به آن‌ها تزریق نماید. همچنین امکان انجام اقداماتی مشابه جعل درخواست بین‌سایتی (CSRF‑like Actions)، مانند ارسال درخواست‌های غیرمجاز از طرف کاربر قربانی، وجود دارد. هرچند کوکی‌های نشست (n8n‑auth) به دلیل علامت‌گذاری HttpOnly به‌طور مستقیم قابل سرقت نیستند، اما اجرای اسکریپت در محیط ویرایشگر n8n به مهاجم این امکان را می‌دهد که کنترل گسترده‌ای بر نشست کاربری و تعاملات آن داشته باشد. این آسیب‌پذیری با انتشار نسخه 1.114.0 و اعمال صحیح مکانیزم محیط ایزوله (sandbox) به‌طور کامل پچ شده است.

CVSS

لیست محصولات آسیب پذیر

لیست محصولات بروز شده

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که n8n را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

نتیجه گیری

این آسیب‌پذیری با شدت بالا از نوع XSS ذخیره شده در پلتفرم n8n است که امکان اجرای کد جاوااسکریپت مخرب را در زمینه ویرایشگر اصلی فراهم می‌کند. بهره‌برداری از این ضعف می‌تواند منجر به کنترل غیرمجاز گردش‌کارها، افشای اطلاعات حساس، تغییر یا حذف داده‌ها و تزریق منطق مخرب در فرآیندهای اتوماسیون شود. با توجه به انتشار پچ رسمی، اجرای اقدامات زیر برای جلوگیری از آسیب پذیری و کاهش ریسک ضروری است:

• به‌روزرسانی فوری: تمام نمونه‌های n8n را در اسرع وقت به نسخه 114.0 یا بالاتر به‌روزرسانی کنید. این اقدام مؤثرترین و قطعی‌ترین راهکار برای رفع آسیب‌پذیری است و باید در اولویت قرار گیرد. سایر اقدامات نقش مکمل را دارند و می‌توانند به کاهش ریسک این آسیب پذیری و مقابله با حملات مشابه کمک کنند.
• محدودسازی مجوزها: مجوز ایجاد و ویرایش گردش‌کارها را تنها به کاربران کاملاً مورد اعتماد اختصاص دهید و اصل حداقل دسترسی را به‌طور کامل اعمال کنید.
• اجتناب از محتوای HTML غیر قابل اعتماد: از بازگرداندن پاسخ‌های HTML حاوی اسکریپت در نود Respond to Webhook خودداری کنید، به‌ویژه زمانی که داده‌ها از منابع خارجی یا غیرمعتبر دریافت می‌شوند.
• استفاده از پروکسی معکوس یا قابلیت پاک‌سازی HTML: یک پروکسی معکوس (Reverse Proxy) خارجی مانند NGINX یا فایروال اپلیکیشن وب (WAF) با قابلیت پاک‌سازی HTML و حذف تگ‌های اسکریپت و رویدادهای جاوااسکریپتی (Event Handlers) پیاده‌سازی کنید تا پاسخ‌های مخرب پیش از رسیدن به مرورگر کاربر مسدود شوند.
• فعال‌سازی سیاست امنیتی محتوا (CSP): سیاست امنیتی محتوای سخت‌گیرانه را در سطح سرور یا پروکسی معکوس اعمال کنید تا اجرای اسکریپت های درون خطی (inline scripts) را محدود نمایید.
• نظارت و ثبت لاگ پیشرفته: تغییرات گردش‌کارها، تست webhookها و درخواست‌های مشکوک را به‌طور مستمر مانیتور کنید و از سیستم‌های تشخیص نفوذ مبتنی بر لاگ (مانند SIEM) استفاده نمایید.
• آموزش کاربران: کاربران و مدیران n8n را نسبت به ریسک‌های تزریق اسکریپت و عدم اعتماد به ورودی‌های خارجی آگاه کنید.

اجرای سریع به‌روزرسانی در کنار محدودسازی دسترسی‌ها و اعمال کنترل‌های امنیتی تکمیلی، ریسک بهره‌برداری موفق از این آسیب‌پذیری XSS ذخیره‌شده را به حداقل رسانده و امنیت رابط کاربری و گردش‌کارهای n8n را به‌طور قابل‌توجهی افزایش می‌دهد.

امکان استفاده در تاکتیک های Mitre Attack (در زمان اجرای حمله

Initial Access (TA0001)
در بهره‌برداری از CVE-2025-61914، دسترسی اولیه از طریق یک مسیر کاملاً مجاز ولی مستعد سوءاستفاده فراهم می‌شود؛ به این معنا که مهاجم از پیش یک حساب کاربری معتبر در n8n دارد و مجوز ایجاد یا ویرایش گردش‌کار برای او فعال است. شرط لازم برای این مرحله آن است که نسخه آسیب‌پذیر n8n مورد استفاده قرار گیرد، نود Respond to Webhook در گردش‌کار حضور داشته باشد و امکان تعریف پاسخ HTML سفارشی بدون پالایش مؤثر ورودی وجود داشته باشد. در این حالت، مهاجم بدون نیاز به نفوذ فنی یا عبور از کنترل‌های احراز هویت، صرفاً با استفاده از قابلیت‌های عادی پلتفرم وارد زنجیره حمله می‌شود.

Execution (TA0002)
در گام اجرا، اسکریپت تزریق‌شده در پاسخ HTML نود Respond to Webhook فعال می‌شود. این تاکتیک زمانی محقق می‌گردد که مکانیزم iframe sandbox به‌درستی اعمال نشده باشد و محتوای HTML به‌جای اجرا در محیط ایزوله، در پنجره اصلی ویرایشگر بارگذاری شود. شرط کلیدی این مرحله، باز شدن گردش‌کار یا اجرای تست Webhook توسط کاربری دیگر با نشست فعال است؛ در چنین شرایطی، کد جاوااسکریپت مهاجم در بستر رابط کاربری n8n اجرا شده و به منابع سمت کاربر دسترسی پیدا می‌کند.

Privilege Escalation (TA0004)
پس از اجرای موفق اسکریپت، مهاجم می‌تواند به‌صورت غیرمستقیم سطح دسترسی عملی خود را افزایش دهد. این ارتقا به شکل تصاحب نقش سیستمی نیست، بلکه از طریق اجرای کد در زمینه نشست کاربری قربانی رخ می‌دهد؛ به‌ویژه اگر قربانی دارای دسترسی‌های مدیریتی یا سطح بالاتری نسبت به مهاجم باشد. تحقق این تاکتیک وابسته به آن است که کنترل‌های مبتنی بر نقش در رابط کاربری به نشست کاربر متکی باشند و اقدامات حساس از طریق درخواست‌های سمت کاربر قابل انجام باشند.

Discovery (TA0007)
در ادامه، اسکریپت اجراشده می‌تواند برای شناسایی محیط کاربردی مورد استفاده قرار گیرد؛ از جمله بررسی ساختار گردش‌کارها، شناسایی نودهای موجود، یا استخراج اطلاعات قابل مشاهده در رابط کاربری. این مرحله زمانی مؤثر است که داده‌های حساس یا تنظیمات مهم از طریق APIهای داخلی یا عناصر UI در دسترس نشست کاربر باشند و محدودیت سخت‌گیرانه‌ای برای مشاهده آن‌ها اعمال نشده باشد. چنین کشفی به مهاجم کمک می‌کند تا دامنه تأثیرگذاری خود را دقیق‌تر تنظیم کند.

Persistence (TA0003)
در صورت فراهم بودن شرایط، مهاجم می‌تواند با تزریق منطق مخرب به گردش‌کارها یا ذخیره محتوای آلوده در پاسخ‌های Webhook، نوعی ماندگاری ایجاد کند. این تاکتیک زمانی عملی می‌شود که تغییرات ایجادشده توسط کاربر آلوده ذخیره شده و در مراجعات بعدی یا اجرای‌های آتی نیز مجدداً بارگذاری شوند. نبود بازبینی منظم گردش‌کارها و اعتماد به محتوای HTML تعریف‌شده توسط کاربران، شرط اصلی پایداری این وضعیت خواهد بود.

Impact (TA0040)
پیامد نهایی این آسیب پذیری نقض قابل توجه محرمانگی و یکپارچگی در محیط n8n است. اجرای جاوااسکریپت دلخواه در رابط کاربری می‌تواند منجر به دستکاری گردش‌کارها، انجام عملیات غیرمجاز به نیابت از کاربر قربانی و تضعیف اعتماد به محیط مدیریتی سامانه شود. هرچند این آسیب‌پذیری مستقیماً به اجرای کد در سمت سرور منجر نمی‌شود، اما در محیط‌هایی که گردش‌کارها نقش حیاتی در اتوماسیون فرآیندها دارند، اثرگذاری آن می‌تواند زنجیره‌ای و مخرب باشد و ریسک عملیاتی و امنیتی قابل‌توجهی ایجاد کند.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-61914
2. https://www.cvedetails.com/cve/CVE-2025-61914/
3. https://github.com/n8n-io/n8n/security/advisories/GHSA-58jc-rcg5-95f3
4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-61914
5. https://vuldb.com/?id.338493
6. https://nvd.nist.gov/vuln/detail/CVE-2025-61914
7. https://cwe.mitre.org/data/definitions/79.html