CVE-2026-21858 alias Ni8mare : Vulnérabilité critique d’exécution de code à distance non authentifiée dans la plateforme n8n
L’augmentation critique des vulnérabilités ne montre aucun signe de ralentissement alors que 2026 commence. À la suite de la divulgation de MongoBleed (CVE-2025-14847), une autre faille critique est apparue, affectant la plateforme d’automatisation de flux de travail AI n8n. Suivi sous l’identifiant CVE-2026-21858 et surnommé Ni8mare, la faille obtient un score de gravité maximale (CVSS 10.0) and pourrait permettre de prendre le contrôle total des instances n8n exposées.
Le risque est amplifié par l’empreinte d’exposition de la plateforme. Le fournisseur de gestion de surface d’attaque, Censys indique avoir observé plus de 26 500 hôtes n8n accessibles sur Internet dans le monde entier, mettant en évidence une surface d’attaque potentielle substantielle pour une exploitation active.
Inscrivez-vous à la Plateforme SOC Prime, qui héberge le plus grand ensemble de données de détection d’intelligence au monde, fournissant un pipeline de bout en bout de la détection des menaces à la simulation pour améliorer vos capacités SOC et défendre de manière proactive contre des cybermenaces de toute sophistication. Appuyez sur le bouton Explorer les Détections pour accéder à une collection de règles enrichies de contexte traitant de l’exploitation des vulnérabilités, filtrées par l’étiquette CVE pertinente.
Toutes les règles sont compatibles avec plusieurs formats SIEM, EDR et Data Lake et mappées sur le cadre MITRE ATT&CK® v18.1. De plus, chaque règle est enrichie de CTI liens, de chronologies d’attaque, de configurations d’audit, de recommandations de triage et de plus de contexte pertinent.
Les ingénieurs en sécurité peuvent également tirer parti de Uncoder AI, un IDE et co-pilote pour l’ingénierie de détection. Avec Uncoder, les défenseurs peuvent instantanément convertir des IOC en requêtes de chasse personnalisées, créer du code de détection à partir de rapports de menace bruts, générer des diagrammes de flux d’attaque, activer la prédiction des étiquettes ATT&CK, utiliser l’optimisation des requêtes pilotée par AI et traduire le contenu de détection à travers plusieurs plateformes.
Analyse du CVE-2026-21858
Le CVE-2026-21858, surnommé Ni8mare, expose une faille critique dans l’analyse des requêtes webhook et la logique de gestion des fichiers de n8n. Selon le rapport des Cyera Research Labs rapport, la vulnérabilité provient de la manière dont les nœuds Webhook traitent les requêtes HTTP entrantes basées sur l’en-tête « Content-Type ».
Lorsqu’une requête est reçue, n8n détermine comment l’analyser en inspectant le « Content-Type ». Si l’en-tête est configuré sur multipart/form-data, la requête est traitée par la fonction parseFormData() . Cette fonction est un wrapper autour de la méthode parse() de Formidable et enregistre les fichiers téléchargés dans un chemin généré aléatoirement dans le répertoire temporaire du système, stockant les informations des fichiers dans la variable globale req.body.files .
Pour toutes les autres valeurs de « Content-Type », n8n utilise la fonction parseBody() , qui analyse le corps HTTP et stocke les données décodées dans req.body .
. Les chercheurs de Cyera ont découvert qu’une requête HTTP conçue pour être envoyée à un nœud de Webhook Forms pourrait délibérément transformer l’en-tête « Content-Type » en autre chose que multipart/form-data. Lorsqu’elle est traitée de cette manière, parseBody() elle peut être utilisée pour remplacer la req.body.files variable par des données contrôlées par l’attaquant.
Avec le contrôle sur l’objet req.body.files , un attaquant peut spécifier des chemins de fichiers arbitraires sur le système local. Le nœud Form appelle ensuite la fonction prepareFormReturnItem() , qui itère sur les entrées dans req.body.files et invoque copyBinaryFile() pour chacune d’elles. Ce processus ne vérifie pas si les fichiers proviennent d’un téléchargement légitime, ce qui entraîne la copie des fichiers locaux spécifiés dans le stockage persistant.
Le problème a été signalé à n8n le 9 novembre 2025 et le fournisseur a confirmé que le CVE-2026-21858 permet aux attaquants non authentifiés d’accéder aux fichiers sur le serveur sous-jacent. L’exploitation peut conduire à l’exposition de données sensibles, à la manipulation de workflows, à la compromission de crédentiels et, dans certaines configurations, à la compromission complète d’une instance.
Selon l’ avisdu fournisseur, le CVE-2026-21858 affecte toutes les versions de la plateforme n8n antérieures et y compris 1.65.0. Cela a été résolu dans la version 1.121.0, publiée le 18 novembre 2025. Les utilisateurs doivent passer à la version 1.121.0 ou ultérieure pour remédier au problème.
Aucune solution de contournement officielle n’est disponible. À titre de mesure temporaire, les utilisateurs peuvent restreindre ou désactiver les points de terminaison webhook et formulaire accessibles au public jusqu’à ce que la mise à jour puisse être appliquée. De plus, les organisations peuvent utiliser la Plateforme d’Intelligence de Détection AI-native de SOC Prime pour une défense en temps réel, les aidant à rester en avance sur les menaces critiques soutenues par une vaste bibliothèque de règles de détection sélectionnées, de renseignements exploitables et d’IA.
