CVE-2026-21858 también conocido como Ni8mare: Vulnerabilidad Crítica de Ejecución Remota de Código No Autenticada en la Plataforma n8n
El aumento de vulnerabilidades críticas no muestra signos de desaceleración a medida que comienza 2026. Tras la divulgación de MongoBleed (CVE-2025-14847), ha surgido otra falla crítica que impacta la plataforma de automatización de flujos de trabajo n8n AI. Rastreada como CVE-2026-21858 y apodada Ni8mare, la falla obtiene un puntaje de máxima severidad (CVSS 10.0) and podría resultar en el control total sobre instancias expuestas de n8n.
El riesgo se amplifica por la exposición de la plataforma. El proveedor de gestión de superficies de ataque, Censys informa haber observado más de 26,500 hosts n8n accesibles a través de internet en todo el mundo, destacando una superficie de ataque potencial sustancial para la explotación activa.
Regístrese en SOC Prime Platform, hogar del conjunto de datos de inteligencia de detección más grande del mundo, proporcionando un pipeline completo desde la detección de amenazas hasta la simulación para mejorar las capacidades de su SOC y defender proactivamente contra amenazas cibernéticas de cualquier sofisticación. Presione el botón de Explorar Detecciones para acceder a una colección de reglas enriquecida con contexto que abordan la explotación de vulnerabilidades, filtradas por la etiqueta CVE relevante.
Todas las reglas son compatibles con múltiples formatos de SIEM, EDR y Data Lake y están mapeadas al marco MITRE ATT&CK® v18.1. Además, cada regla se enriquece con CTI enlaces, líneas de tiempo de ataques, configuraciones de auditoría, recomendaciones de triaje y más contexto relevante.
Los ingenieros de seguridad también pueden aprovechar Uncoder AI, un IDE y copiloto para la ingeniería de detección. Con Uncoder, los defensores pueden convertir instantáneamente IOCs en consultas personalizadas de caza, crear código de detección a partir de informes de amenazas, generar diagramas de flujo de ataque, habilitar la predicción de etiquetas ATT&CK, aprovechar la optimización de consultas impulsada por IA y traducir contenido de detección en múltiples plataformas.
Análisis de CVE-2026-21858
CVE-2026-21858, apodada Ni8mare, expone una falla crítica en el análisis de solicitudes de webhook y la lógica de manejo de archivos de n8n. Según el informede Cyera Research Labs, la vulnerabilidad surge de la manera en que los nodos Webhook procesan las solicitudes HTTP entrantes en función del encabezado «Content-Type».
Cuando se recibe una solicitud, n8n determina cómo analizarla inspeccionando el «Content-Type». Si el encabezado está configurado como multipart/form-data, la solicitud es procesada por la función parseFormData() que es un contenedor alrededor del método parse() de Formidable y guarda los archivos subidos en una ruta generada aleatoriamente en el directorio temporal del sistema, almacenando la información del archivo en la variable global req.body.files .
Para todos los demás valores de «Content-Type», n8n utiliza la función parseBody() que analiza el cuerpo HTTP y almacena los datos decodificados en req.body .
Los investigadores de Cyera encontraron que una solicitud HTTP diseñada enviada a un nodo de Webhook de Formularios podría declarar erróneamente el encabezado «Content-Type» como algo distinto de multipart/form-data. Cuando se procesa de esta manera, parseBody() se puede abusar para sobrescribir la variable req.body.files con datos controlados por el atacante.
Con control sobre el objeto req.body.files , un atacante puede especificar rutas de archivos arbitrarias en el sistema local. El nodo de Formulario luego llama a la función prepareFormReturnItem() que itera sobre las entradas en req.body.files y llama a copyBinaryFile() para cada una. Este proceso no verifica si los archivos provienen de una carga legítima, lo que provoca que los archivos locales especificados se copien en el almacenamiento persistente en su lugar.
El problema fue reportado a n8n el 9 de noviembre de 2025, y el proveedor confirmó que CVE-2026-21858 permite a atacantes no autenticados acceder a archivos en el servidor subyacente. La explotación puede llevar a la exposición de datos sensibles, manipulación de flujos de trabajo, compromiso de credenciales y, en algunas configuraciones, compromiso completo de la instancia.
Según el aviso del proveedor, CVE-2026-21858 afecta a todas las versiones de la plataforma n8n anteriores e incluyendo la 1.65.0. Se ha abordado en la versión 1.121.0, lanzada el 18 de noviembre de 2025. Los usuarios deben actualizar a la versión 1.121.0 o posterior para remediar el problema.
No hay soluciones alternativas oficiales disponibles. Como mitigación temporal, los usuarios pueden restringir o deshabilitar los puntos finales de webhook y formularios accesibles públicamente hasta que se pueda aplicar la actualización. Además, las organizaciones pueden aprovechar la Plataforma de Inteligencia de Detección nativa de IA de SOC Prime para la defensa en tiempo real, ayudándoles a adelantarse a amenazas críticas respaldadas por una extensa biblioteca de reglas de detección curadas, inteligencia procesable e IA.
