CVE-2026-21858 também conhecido como Ni8mare: Vulnerabilidade Crítica de Execução Remota de Código Não Autenticada na Plataforma n8n
O aumento de vulnerabilidades críticas não mostra sinais de desaceleração com o início de 2026. Após a divulgação do MongoBleed (CVE-2025-14847), outra falha crítica apareceu, impactando a plataforma de automação de fluxo de trabalho AI do n8n. Rastreada como CVE-2026-21858 e apelidada de Ni8mare, a falha obtém uma pontuação de severidade máxima (CVSS 10.0) and pode resultar na concessão de controle total sobre instâncias de n8n expostas.
O risco é ampliado pela exposição da plataforma. O fornecedor de gerenciamento de superfície de ataque Censys relata a observação de mais de 26.500 hosts n8n acessíveis pela internet em todo o mundo, destacando uma superfície potencial de ataque substancial para exploração ativa.
Registre-se na Plataforma SOC Prime, lar do maior conjunto de dados de Inteligência de Detecção do mundo, oferecendo um pipeline completo da detecção de ameaças através da simulação para elevar suas capacidades SOC e defender proativamente contra ameaças cibernéticas de qualquer sofisticação. Pressione o botão Explorar Detecções para acessar uma coleção enriquecida de regras que abordam a exploração de vulnerabilidades, filtradas pela tag CVE relevante.
Todas as regras são compatíveis com múltiplos formatos de SIEM, EDR e Data Lake e mapeadas para o framework MITRE ATT&CK® v18.1. Além disso, cada regra é enriquecida com CTI links, cronogramas de ataques, configurações de auditoria, recomendações de triagem e mais contexto relevante.
Engenheiros de segurança também podem aproveitar Uncoder AI, um IDE e co-piloto para engenharia de detecção. Com o Uncoder, defensores podem converter instantaneamente IOCs em consultas de caça personalizadas, criar código de detecção a partir de relatórios de ameaça brutos, gerar diagramas de Fluxo de Ataque, habilitar predicação de tags ATT&CK, aproveitar a otimização de consultas impulsionada por IA e traduzir conteúdo de detecção em várias plataformas.
Análise CVE-2026-21858
CVE-2026-21858, apelidada de Ni8mare, expõe uma falha crítica no processamento de requisições webhook e na lógica de manipulação de arquivos do n8n. De acordo com o relatório do Cyera Research Labs relatório, a vulnerabilidade surge da maneira como os nós Webhook processam requisições HTTP recebidas com base no cabeçalho “Content-Type”.
Quando uma requisição é recebida, o n8n determina como processá-la inspecionando o “Content-Type”. Se o cabeçalho estiver definido como multipart/form-data, a requisição é processada pela função parseFormData() . Esta função é um invólucro em torno do método parse() do Formidable e salva arquivos enviados para um caminho gerado aleatoriamente no diretório temporário do sistema, armazenando as informações do arquivo na variável global req.body.files .
Para todos os outros valores de “Content-Type”, o n8n usa a função parseBody() , que processa o corpo HTTP e armazena os dados decodificados em req.body .
Pesquisadores da Cyera descobriram que uma requisição HTTP manipulada enviada a um nó Webhook de Formulários poderia intencionalmente declarar incorretamente o cabeçalho “Content-Type” como algo diferente de multipart/form-data. Quando processado dessa forma, parseBody() pode ser abusado para sobrescrever a req.body.files variável com dados controlados pelo atacante.
Com controle sobre o objeto req.body.files , um atacante pode especificar caminhos de arquivo arbitrários no sistema local. O nó de Formulário mais tarde chama a função prepareFormReturnItem() , que itera sobre as entradas em req.body.files e invoca copyBinaryFile() para cada uma. Este processo não verifica se os arquivos se originaram de um upload legítimo, fazendo com que os arquivos locais especificados sejam copiados para armazenamento persistente em vez disso.
O problema foi reportado ao n8n em 9 de novembro de 2025, e o fornecedor confirmou que CVE-2026-21858 permite que atacantes não autenticados acessem arquivos no servidor subjacente. A exploração pode levar à exposição de dados sensíveis, manipulação de fluxo de trabalho, comprometimento de credenciais e, em algumas configurações, comprometimento completo da instância.
De acordo com o avisodo fornecedor, o CVE-2026-21858 afeta todas as versões da plataforma n8n anteriores e incluindo a 1.65.0. Foi resolvido na versão 1.121.0, lançada em 18 de novembro de 2025. Os usuários devem atualizar para a versão 1.121.0 ou posterior para remediar o problema.
Não há soluções alternativas oficiais disponíveis. Como uma mitigação temporária, os usuários podem restringir ou desabilitar pontos de extremidade de webhook e formulário acessíveis ao público até que a atualização possa ser aplicada. Além disso, as organizações podem utilizar a Plataforma de Inteligência de Detecção Nativa de IA da SOC Prime para defesa em tempo real, ajudando-os a se manterem à frente de ameaças críticas apoiadas por uma extensa biblioteca de regras de detecção curadas, inteligência acionável e IA.
