CVE-2026-21858 aka Ni8mare: n8n 플랫폼의 중요한 인증되지 않은 원격 코드 실행 취약점
중대한 취약점의 급증은 2026년이 시작되면서도 멈추지 않을 조짐을 보이고 있습니다. MongoBleed (CVE-2025-14847) 공개 이후, 또 다른 중대한 결함이 n8n AI 워크플로우 자동화 플랫폼에 영향을 미치는 것으로 드러났습니다. CVE-2026-21858로 추적되고 Ni8mare라는 별칭으로 불리는 이 결함은 최대 심각성 점수(CVSS 10.0)를 획득했습니다. and 이는 노출된 n8n 인스턴스에 대한 전체 제어 권한을 부여할 수 있습니다.
플랫폼의 노출 발자취로 인해 위험이 확대됩니다. 공격 표면 관리 제공업체인 Censys 는 전 세계적으로 26,500개 이상의 인터넷에 접근 가능한 n8n 호스트를 관찰하면서, 적극적인 악용을 위한 상당한 잠재적 공격 표면을 강조합니다.
SOC Prime Platform에 등록하세요. 이는 세계 최대의 탐지 인텔리전스 데이터 세트를 보유하고 있으며, 위협 탐지에서 모의 실행에 이르는 엔드투엔드 파이프라인을 제공하여 SOC 기능을 향상시키고 사이버 위협으로부터 사전 방어를 할 수 있게 합니다. 탐지 목록 보기 버튼을 눌러 관련 CVE 태그로 필터링된 취약점 악용을 해결하는 규칙의 맥락이 풍부한 모음을 액세스하세요.
모든 규칙은 다양한 SIEM, EDR, 데이터 레이크 형식과 호환되며 MITRE ATT&CK® v18.1 프레임워크에 매핑되어 있습니다. 또한 각 규칙에는 CTI 링크, 공격 타임라인, 감사 구성, 분류 권장 사항 및 기타 관련 맥락이 추가됩니다.
보안 엔지니어는 또한 Uncoder AI를 활용하여 탐지 엔지니어링을 보조할 수 있습니다. Uncoder를 사용하면 방어자는 IOCs를 맞춤형 사냥 쿼리로 즉시 변환하고, 원시 위협 보고서에서 탐지 코드를 작성하고, 공격 흐름 다이어그램을 생성하며, ATT&CK 태그 예측을 활성화하고, 인공지능 기반 쿼리 최적화 및 여러 플랫폼 간 탐지 콘텐츠를 번역할 수 있습니다.
CVE-2026-21858 분석
CVE-2026-21858(Ni8mare로 명명됨)는 n8n의 웹훅(Webhook) 요청 파싱 및 파일 처리 로직에 존재하는 치명적인 결함을 노출합니다. Cyera Research Labs의 보고서에 따르면, 이 취약점은 Webhook 노드가 “Content-Type” 헤더를 기준으로 수신된 HTTP 요청을 처리하는 방식에서 발생합니다.
요청이 수신되면 n8n은 “Content-Type”을 검사하여 파싱 방식을 결정합니다. 헤더가 multipart/form-data로 설정된 경우, 요청은 parseFormData() 함수에 의해 처리됩니다. 이 함수는 Formidable의 parse() 메서드를 래핑하며, 업로드된 파일을 시스템의 임시 디렉터리에 무작위로 생성된 경로에 저장하고 파일 정보를 req.body.files 전역 변수에 저장합니다.
그 외 모든 “Content-Type” 값에 대해서는 n8n이 parseBody() 함수를 사용하며, 이 함수는 HTTP 본문을 파싱하고 디코딩된 데이터를 req.body 전역 변수에 저장합니다.
Cyera 연구진은 Forms Webhook 노드로 전송되는 조작된 HTTP 요청이 “Content-Type” 헤더를 multipart/form-data가 아닌 값으로 의도적으로 설정할 수 있음을 확인했습니다. 이 방식으로 처리될 경우, parseBody() 함수가 악용되어 req.body.files 변수를 공격자가 제어하는 데이터로 덮어쓸 수 있습니다.
공격자가 req.body.files 객체를 제어하게 되면, 로컬 시스템 내 임의의 파일 경로를 지정할 수 있습니다. 이후 Form 노드는 prepareFormReturnItem() 함수를 호출하며, 이 함수는 req.body.files 내 항목을 순회하면서 각 항목에 대해 copyBinaryFile()을 호출합니다. 이 과정에서는 파일이 정상적인 업로드에서 생성되었는지 여부를 검증하지 않기 때문에, 지정된 로컬 파일이 영구 저장소로 복사되는 문제가 발생합니다.
이 취약점은 2025년 11월 9일 n8n에 보고되었으며, 공급업체는 CVE-2026-21858이 인증되지 않은 공격자가 기반 서버의 파일에 접근할 수 있도록 허용한다고 확인했습니다. 해당 취약점이 악용될 경우 민감 데이터 노출, 워크플로우 조작, 자격 증명 탈취가 발생할 수 있으며, 일부 구성에서는 전체 인스턴스 손상으로 이어질 수 있습니다.
공급업체의 보안 권고에 따르면, CVE-2026-21858은 n8n 플랫폼 1.65.0 버전 이하의 모든 버전에 영향을 미칩니다. 해당 취약점은 2025년 11월 18일에 릴리스된 1.121.0 버전에서 수정되었습니다. 사용자는 문제를 해결하기 위해 1.121.0 이상 버전으로 업그레이드해야 합니다.
현재 공식적인 우회 방법은 제공되지 않습니다. 임시 완화 조치로는 업그레이드를 적용할 때까지 공개적으로 접근 가능한 웹훅(Webhook) 및 폼(Form) 엔드포인트를 제한하거나 비활성화할 수 있습니다. 또한 조직은 실시간 방어를 위해 SOC Prime의 AI 네이티브 Detection Intelligence Platform을 활용할 수 있으며, 선별된 탐지 규칙, 실행 가능한 위협 인텔리전스, AI 기반 분석을 통해 핵심 위협에 선제적으로 대응할 수 있습니다.
