سیاوش حسین‌زاده

اختلال گسترده‌ای که الان تو چندتا هاستینگ و سرویس مختلف می‌بینیم: (پارس‌پک، سون‌ هاست، لیموهاست، ایران‌سرور… حتی ترب و بعضی پنل‌های پیامکی) بیشتر از هر چیز نشون می‌ده تیم‌های فنی دارن با یه شرایط خارج از کنترل خودشون می‌جنگن. وقتی برق چندتا دیتاسنتر مثل های‌وب هم‌زمان می‌پره، هیچ معماری‌ای صددرصد آماده نیست!

اینجور لحظه‌ها تیم‌ها دارن با دست‌های بسته سرویس رو روی هوا نگه می‌دارن و همزمان Recovery رو جلو می‌برن. فشار کاریشون وحشتناکه و سطح استرس بسیار بالاست.

ارسال تیکت و تماس تو این شرایط فقط تمرکز رو از بین می‌بره و هر دقیقه‌ای که ازشون گرفته می‌شه یعنی چند دقیقه تأخیر بیشتر تو برگشت سرویس.

اگه دسترسی مستقیم دارید به هاستتون، فقط بکاپ بگیرید و کنار بکشید، بذارید تیم‌ها با تمرکز و بدون استرس اضافه کار رو جمع کنند.

شب‌های سختِ زیرساخت همیشه روی دوش همین آدم‌هاست و واقعا باید پشتشون باشیم.

امیدوارم هرچه زودتر این مشکل برطرف بشه.

داستان اینجاست که Anthropic توی Claude Code چندتا سوتی سنگین داده بود که عملا با یک git clone ساده، سیستم دیپلوی‌منت و API Key هاتون به باد می‌رفت. مشکل از فایل‌های کانفیگ مثل settings.json شروع می‌شه. جایی که مهاجم می‌تونه با ست کردن ANTHROPIC_BASE_URL کل ترافیک و توکن‌های شما رو به سرور خودش Redirect کنه، اونم قبل از اینکه حتی دکمه تایید رو بزنید.

بحث فنی‌تر اینجاست که وقتی به AI اجازه دسترسی به Terminal و MCP (Model Context Protocol) میدی، فایل‌های کانفیگ دیگه فقط دیتا نیستن، بخشی از Execution Layer حساب می‌شن. یعنی باز کردن یک Repo غریبه مساوی با اجرای کد مخرب روی لوکال.

خلاصه اینکه توی دنیای AI-Driven Development، دیگه فقط نباید نگران پکیج‌های npm باشیم، حالا باید حواسمون به فایل‌های تنظیمات ابزارهای کدزنی هم باشه. امنیت Supply Chain از اونی که فکر می‌کردیم پیچیده‌تر شده اگه قرار باشه با AI زندگی کنیم.

وقتی ابزاری مثل n8n رو وسط سازمان میارید که به همه‌جا، از APIهای LLM گرفته تا سیستم‌های IAM و دیتای فروش دسترسی داره، عملا دارید یک Skeleton Key به نفوذگر می‌دید. با افشای CVE-2026-1470 با امتیاز ۹.۹، مشخص شد که دور زدن Sandbox و رسیدن به RCE از اون چیزی که فکر می‌کردیم راحت‌تره.

مشکل اینجاست که خیلیا فکر می‌کنن چون n8n محیط Low-code داره، پس هر کسی با دو تا درگ‌-اند-دراپ می‌تونه معمار اتوماسیون سازمان باشه! (یا مثلا متخصص اتوماسیون با هوش مصنوعی 😂) فاجعه دقیقا از همین‌جا شروع می‌شه. سپردن زیرساخت اتوماسیون به آدم‌هایی که درک عمیقی از معماری نرم‌افزار و چالش‌های امنیتی ندارن، یعنی فاجعه...

توی این گزارش جدید، محقق‌های JFrog نشون دادن که حتی با وجود لایه‌های کنترلی مبتنی بر AST و لیست‌های سیاه، باز هم می‌شه از قابلیت‌های Deprecated شده یا رفتارهای خاص Interpreterها استفاده کرد و از زندان Sandbox فرار کرد. این یعنی امنیت در سطح کد، تضمین‌کننده نیست.

بزرگترین اشتباه استراتژیک، استفاده از Internal Mode در محیط Production است. n8n صراحتا هشدار داده که برای ایزوله‌سازی باید از External Mode استفاده بشه، اما آمار Shadowserver نشون می‌ده که هنوز بیش از ۳۹,۰۰۰ Instance آسیب‌پذیر توی اینترنت رها شدن. این یعنی فقر دانش زیرساختی در تیم‌هایی که ادعای اتوماسیون دارن.

باید قبول کنیم که مدیریت امنیت در زبان‌های داینامیک مثل Python و JS برای محیط‌های Multi-tenant کابوسه. اگر تیم شما تخصص مدیریت Task Runnerها و ایزوله‌سازی فرآیندها در سطح سیستم‌عامل رو نداره، همین الان دسترسی‌های n8n رو محدود کنید.

اتوماسیون بدون امنیت، فقط سرعت بخشیدن به نابودی سازمانتونه. اگه معمار زیرساخت سر پروژه نیست، n8n رو برای کارهای حساس لانچ نکنید.

وقتی گوگل‌بات به خاطر اختلالات شبکه یا اختلال در اینترکانکت نمی‌تونه دیتاسنترهای داخلی رو درست Crawl کنه، عملا فرقی با Down بودن سایت نداره. راه‌حل این روزها برای فرار از افت رتبه، استفاده از یک کپی Mirror روی هاست خارج (مثلا اروپا) و بازی با NSهاست.

با ست کردن نیم‌سرورهای ایران و خارج در کنار هم، یه جور Failover دستی ایجاد می‌کنید. اینطوری وقتی دسترسی گوگل از بیرون به ایران مختل می‌شه، گوگل بات می‌ره سراغ هاست اروپا و ایندکس متوقف نمی‌شه. برای کاربر داخل هم همچنان Latency پایین هاست ایران رو داریم.

فقط یادتون باشه این یه Dirty Hack برای بقاست، نه یه استراتژی تمیز! اگه سایت فروشگاهی دارید، حتما روی نسخه خارج، درگاه پرداخت و ثبت‌نام رو ببندید تا دیتابیس‌هاتون ناهمگام (Out of sync) نشه. سئو مهمه، ولی Integrity دیتا از اون هم مهم‌تره.

در این مدت که اینترنت ملی هستش، اگر از سرویس های میزبانی وب داخل کشور استفاده کنید، سایتتون در دسترس قرارداره و کاربرانتون بدون مشکل و با سرعت و کیفیت مناسب میتونن از خدماتتون استفاده کنن. درگاه های پرداخت هم مجددا فعال شدند و بصورت کلی برای سایت های داخلی مشکلی وجود نداره.

اگر در این بازه زمانی، کسب و کارتون باید آنلاین باشه حتما چکلیست زیر رو رعایت کنید.

چکلیست مهم برای دسترسی به سایت از اینترنت ملی:

1- تهیه هاست با لوکیشن داخل کشور و عدم استفاده از CDN های خارج از کشور با ابر یا پراکسی روشن.

2- عدم استفاده از پلاگین ها و ماژول هایی که نیاز به دسترسی اینترنت بین الملل دارند مثلا API های هوش مصنوعی.

3- انتقال تمامی asset های موردنیاز به ساختار میزبانی داخلی و عدم وابستگی به سرویس هایی مثل CDNjs , Google fonts API و...

4- غیرفعالسازی Google Captcha و مواردی که نیاز به دسترسی اینترنت بین الملل از سمت کاربران شما دارد.

تو دو هفته گذشته این چهارمین باگ Critical هست که از n8n میاد بیرون، ولی این یکی (CVE-2026-21858) فرق داره و بازی رو عوض کرده. چرا؟ چون Unauthenticated هست. یعنی بدون هیچ یوزر و پسوردی، اتکر کل اینستنس رو می‌گیره و تبدیل میشه به ادمین سیستم! اسمش رو گذاشتن Ni8mare و واقعا هم کابوسه.

داستان فنی‌ش یه درس عبرت برای Backend Develope هاست:

باگ توی لاجیک parseRequestBody() و نحوه هندل کردن Content-Type توی Webhookها نهفته‌ست. سیستم بدون اینکه چک کنه هدر ریکوئست واقعا multipart/form-data هست یا نه، به اتکر اجازه میده آبجکت req.body.files رو Override کنه. نتیجه؟ اتکر به جای فایل آپلودی، آدرس فایل‌های حساس لوکال (مثل /home/node/.n8n/database.sqlite یا فایل کانفیگ) رو میده به خورد سیستم و n8n هم دو دستی محتواشون رو برمی‌گردونه.

از اینجا به بعدش سناریوی کلاسیک نفوذه:

۱. دیتابیس SQLite رو می‌خونن و هش پسورد ادمین و Encryption Key رو استخراج می‌کنن.

۲. با این دیتا، کوکی ادمین رو Forge می‌کنن (Session Hijacking).

۳. حالا که ادمین شدن، با یک نود ساده Execute Command دسترسی کامل RCE می‌گیرن.

عملا n8n که قرار بود عصای دست تیم فنی (البته که مارکتینگ تا فنی) باشه و همه‌ی سرویس‌ها (API Keys, DBs, Cloud Tokens) توش متمرکز باشن، تبدیل میشه به Single Point of Failure. اگر اینستنس شما پابلیک باشه، کل کلیدهای زیرساختتون لو رفته.

اگر زیر نسخه 1.121.0 هستید، همین الان آپدیت کنید! و یه قانون کلی: ابزارهای اینترنال و حیاتی مثل n8n رو هیچ‌وقت Raw روی اینترنت اکسپوز نکنید؛ همیشه پشت VPN یا حداقل یک لایه Authelia/Basic Auth بذارید.

قطعا نباید امنیت رو فدای User Experience کنیم! آسیب پذیری جدید Coolify با شناسه CVE-2025-64420 یه کلاس درس کامله از اینکه چطور نباید Credential مدیریت کرد. اسکور CVSS 9.9 گرفته، ولی نه بخاطر یه اکسپلویت پیچیده!

ماجرا اینه که یه یوزر Low-privilege خیلی شیک می‌تونه Private Key روت رو از توی پنل برداره و دانلود کنه!! یعنی عملا دسترسی Root به سرور میزبان، بدون هیچ دردسری دریافت بشه. اینجا با یه RCE عجیب طرف نیستیم؛ رسما کلید گاوصندوق اصلی رو گذاشتن زیر گلدون دمه در! این مدل Information Disclosure که مستقیم ختم میشه به Privilege Escalation، بدترین نوع سهل‌انگاری توی معماری سیستم‌های مدیریت سروره.

اگه از Coolify مخصوصا نسخه‌های بتا تا ۴۳۴ استفاده می‌کنید، فقط آپدیت کردن کافی نیست. فرض رو بر این بذارید که کلیدها همین الان دانلود شدن و سریعا SSH Key Rotation انجام بدید.

آسیب‌پذیری جدید (CVE-2025-68668) دقیقا جایی نشسته که خیلی‌ها بهش اعتماد کرده بودن: Python Code Node. مشکل تکنیکال Sandbox Bypass هست. یعنی مکانیزم Pyodide که قرار بود نذاره کد پایتون از محیط ایزوله خارج بشه، Fail شده.

حالا چرا این یه فاجعه‌ست؟ خیلی‌ها فکر می‌کنن چون اتکر نیاز به Authentication داره، پس امنه. که اشتباهه! فرض کنید Credential یکی از اعضای تیم لو بره، یا کلا یک Insider Threat داشته باشید. هر کسی که دسترسی ساخت یا ویرایش Workflow داشته باشه، می‌تونه روی سرور اصلی (N8N Host) هر دستور سیستمی که بخواد رو اجرا کنه (Arbitrary System Commands).

عملا با یک اسکریپت ساده پایتون، اتکر از لایه اپلیکیشن رد می‌شه و مستقیم میاد روی OS سرور شما! یعنی دسترسی به فایل‌های سیستمی، Environment Variableها و کل شبکه داخلی شما.

راه حل CVE-2025-68668 چیه؟

۱. بهترین کار: آپدیت فوری به نسخه 2.0.0. توی این نسخه معماری تغییر کرده و Native Python Task Runner دیفالت شده که ایزوله‌تره. ۲. Workaround موقت: اگر الان نمی‌تونید آپدیت کنید، سریعا متغییر N8N_PYTHON_ENABLED=false رو ست کنید تا پایتون کلا غیرفعال بشه. یا نود کد رو با NODES_EXCLUDE=["n8n-nodes-base.code"] ببندید.

توی دنیای Automation، ابزاری که دسترسی به همه‌جا داره، اگه آسیب پذیر باشه، کل شبکه باهاش آلوده می‌شه .

بات‌نت RondoDox با سوار شدن روی آسیب‌پذیری React2Shell (همون CVE-2025-55182 با امتیاز ۱۰/۱۰) داره زیرساخت‌های Next.js رو درو می‌کنه. طبق آمار Shadowserver هنوز بالای ۹۰ هزار Instance پچ‌نشده توی اینترنت ول هستن که منتظرن تبدیل به زامبی بشن.

بخش مهندسی‌شده و کثیف ماجرا اینجاست: لودر این بات‌نت (nuts/bolts) بعد از نفوذ، اول بقیه بدافزارها و ماینرهای رقیب رو Kill می‌کنه، کرون‌جاب‌ها رو پاک می‌کنه و هر ۴۵ ثانیه کل پروسس‌های سیستم رو چک می‌کنه تا هیچ رقیبی وارد قلمرو اش نشه. یک انحصارطلبی کامل روی منابع سرور شما برای ماین کردن کریپتو و حملات DDoS.

امنیت توی لایه Server Components شوخی‌بردار نیست. اگه پروژه‌ی آپ با Next.js دارید و هنوز پچ نکردید، عملا دارید هزینه برق و CPU سرورتون رو تقدیم RondoDox می‌کنید.

سریع‌تر آپدیت کنید و لاگ‌های /proc رو برای پردازش های مشکوک چک کنید.

وقتی از لینوکس حرف می‌زنیم، در واقع داریم درباره یک Kernel صحبت می‌کنیم که وظیفه‌اش مدیریت منابع سخت‌افزاریه. اما شما نمی‌تونید فقط با یک کرنل کد بزنید یا مثلا کارهای روزمره انجام بدید. اینجاست که مفهوم Linux Distribution یا همون Distro وارد می‌شه.

یک توزیع لینوکس، ترکیب هوشمندانه‌ای از Kernel، سیستم مدیریت پکیج (Package Manager)، کتابخانه‌های سیستم و یک Desktop Environment است. تفاوت اصلی توزیع‌ها نه در ظاهر، بلکه در Package Management و Release Cycle اون‌هاست.

مثلا توی Ubuntu یا Debian، اولویت با پایداری (Stability) است؛ یعنی شاید ورژن ابزارهایی که نصب می‌کنید کمی قدیمی باشه، اما خیالتون راحته که سیستم وسط کار Crash نمی‌کنه. در مقابل، توزیعی مثل Arch Linux از مدل Rolling Release استفاده می‌کنه؛ یعنی هر آپدیتی که ریلیز بشه، همون لحظه در اختیار شماست. این برای Devهایی که می‌خوان همیشه روی Bleeding Edge باشن عالیه، ولی هزینه نگهداری (Maintenance) بالاتری داره.

 توزیع لینوکس فقط یک پوسته‌ است برای اینکه بتونید از قدرت هسته لینوکس استفاده کنید. انتخاب درست، یعنی پیدا کردن تعادل بین نیاز به ابزارهای جدید و زمانی که می‌خواید صرف کانفیگ سیستم کنید.