CVE-2026-21858 alias Ni8mare: Kritische Authentifizierungsfreie Remote-Code-Ausführungsschwachstelle in der n8n-Plattform
Der Anstieg kritischer Schwachstellen zeigt keine Anzeichen einer Verlangsamung zu Beginn des Jahres 2026. Nach der Veröffentlichung von MongoBleed (CVE-2025-14847) ist eine weitere kritische Schwachstelle aufgetaucht, die die n8n AI Workflow-Automatisierungsplattform betrifft. Verfolgt als CVE-2026-21858 und Ni8mare genannt, erhält die Schwachstelle die maximale Schwerepunktzahl (CVSS 10.0) and und könnte zur vollständigen Kontrolle über exponierte n8n-Instanzen führen.
Das Risiko wird durch den Expositionsbereich der Plattform verstärkt. Der Anbieter für Angriffsflächenmanagement Censys berichtet über die Beobachtung von weltweit mehr als 26.500 internetzugänglichen n8n-Hosts, was auf eine erhebliche potenzielle Angriffsfläche für aktive Ausnutzung hinweist.
Registrieren Sie sich für die SOC Prime Plattform, Heimat des weltweit größten Detection-Intelligence-Datensatzes, der einen End-to-End-Workflow von der Bedrohungserkennung bis zur Simulation bietet, um Ihre SOC-Fähigkeiten zu verbessern und proaktiv gegen Cyber-Bedrohungen jeder Komplexität zu verteidigen. Drücken Sie die Entdecken Sie Erkennungen Taste, um auf eine kontextbereicherte Sammlung von Regeln zuzugreifen, die sich mit der Ausnutzung von Schwachstellen befassen und nach dem relevanten CVE-Tag gefiltert sind.
Alle Regeln sind mit mehreren SIEM-, EDR- und Data-Lake-Formaten kompatibel und sind dem MITRE ATT&CK® v18.1 Framework zugeordnet. Zusätzlich wird jede Regel mit CTI Links, Angriffschronologien, Audit-Konfigurationen, Triage-Empfehlungen und mehr relevantem Kontext angereichert.
Sicherheitsingenieure können auch von Uncoder AIprofitieren, einer IDE und Co-Pilot für Detektion Engineering. Mit Uncoder können Verteidiger IOCs sofort in kundenspezifische Jagd-Anfragen umwandeln, Erkennungscode aus Rohbedrohungsberichten generieren, Angriffsdurchlaufdiagramme erstellen, ATT&CK-Tag-Vorhersagen einschalten, AI-gesteuerte Anfrageoptimierung nutzen und Erkennungsinhalte über mehrere Plattformen hinweg übersetzen.
CVE-2026-21858 Analyse
CVE-2026-21858, genannt Ni8mare, offenbart eine kritische Schwachstelle in der Webhook-Anfrageverarbeitung und Dateiverarbeitungslogik von n8n. Laut Cyera Research Labs Berichttritt die Schwachstelle auf, da Webhook-Knoten eingehende HTTP-Anfragen basierend auf dem „Content-Type“-Header verarbeiten.
Wenn eine Anfrage eingeht, bestimmt n8n, wie sie interpretiert wird, indem es den „Content-Type“ inspiziert. Wenn der Header auf multipart/form-datagesetzt ist, wird die Anfrage von der parseFormData() Funktion verarbeitet. Diese Funktion ist ein Wrapper um das parse() Methoden von Formidable und speichert hochgeladene Dateien in einem zufällig generierten Pfad im temporären Verzeichnis des Systems, wobei die Dateiinformationen in der req.body.files globalen Variablen gespeichert werden.
Für alle anderen „Content-Type“-Werte verwendet n8n die parseBody() Funktion, die den HTTP-Body analysiert und die dekodierten Daten im req.body globalen Variablen gespeichert werden.
Cyera-Forscher stellten fest, dass eine gezielte HTTP-Anfrage an einen Webhook-Knoten in Formularen den „Content-Type“-Header absichtlich als etwas anderes als multipart/form-datafehlinterpretieren könnte. Wenn auf diese Weise verarbeitet, parseBody() kann missbraucht werden, um die req.body.files Variable mit angreifergesteuerten Daten zu überschreiben.
Mit Kontrolle über das req.body.files Objekt kann ein Angreifer beliebige Dateipfade im lokalen System angeben. Der Form-Knoten ruft später die prepareFormReturnItem() Funktion auf, die über die Einträge in req.body.files iteriert und copyBinaryFile() für jeden aufruft. In diesem Prozess wird nicht überprüft, ob die Dateien von einem legitimen Upload stammen, was dazu führt, dass die angegebenen lokalen Dateien stattdessen in den Permanentenspeicher kopiert werden.
Das Problem wurde n8n am 9. November 2025 gemeldet, und der Anbieter bestätigte, dass CVE-2026-21858 es nicht authentifizierten Angreifern ermöglicht, auf Dateien auf dem zugrunde liegenden Server zuzugreifen. Die Ausnutzung kann zur Offenlegung sensibler Daten, Manipulation von Workflows, Kompromittierung von Anmeldedaten und, in einigen Konfigurationen, zur vollständigen Kompromittierung der Instanz führen.
Laut der Beratungdes Anbieters betrifft CVE-2026-21858 alle Versionen der n8n-Plattform bis einschließlich Version 1.65.0. Es wurde in Version 1.121.0 behoben, die am 18. November 2025 veröffentlicht wurde. Benutzer sollten auf Version 1.121.0 oder höher aktualisieren, um das Problem zu beheben.
Es stehen keine offiziellen Workarounds zur Verfügung. Als vorübergehende Maßnahme können Benutzer beschränken oder deaktivieren, dass Webhook- und Form-Endpunkte öffentlich zugänglich sind, bis das Upgrade angewendet werden kann. Darüber hinaus können Organisationen die AI-native Detection Intelligence Plattform von SOC Prime nutzen, um eine Echtzeitverteidigung zu gewährleisten, die sie dabei unterstützt, kritischen Bedrohungen voraus zu sein, durch eine umfangreiche Bibliothek kuratierter Erkennungsregeln, umsetzbarer Informationen und KI.
