Uma falha de segurança de severidade máxima foi descoberta na plataforma de automação n8n, deixando cerca de 100 mil servidores vulneráveis a tomada de controle completa por atacantes não autenticados. A vulnerabilidade, identificada como CVE-2026-21858 e apelidada de "Ni8mare" por pesquisadores da empresa de segurança Cyera, recebeu pontuação CVSS de 10.0 e permite que um invasor execute código arbitrário em sistemas vulneráveis sem necessidade de credenciais de acesso. O n8n é uma ferramenta de automação de código aberto auto-hospedada que muitas organizações utilizam para integrar aplicativos de chat, formulários, armazenamento em nuvem, bancos de dados e APIs de terceiros, contando com mais de 100 milhões de downloads no Docker e milhões de usuários em milhares de empresas.

A raiz do problema reside na forma como o n8n processa webhooks, o mecanismo usado para iniciar fluxos de trabalho quando dados chegam de sistemas externos como formulários web, plataformas de mensagens ou serviços de notificação. Ao explorar uma falha de "Content-Type Confusion", um atacante pode manipular cabeçalhos HTTP para sobrescrever variáveis internas usadas pela aplicação, permitindo a leitura de arquivos arbitrários do sistema subjacente e escalando o ataque para execução remota completa de código. A vulnerabilidade ocorre quando uma função de manipulação de arquivos é executada sem verificar primeiro se o tipo de conteúdo é "multipart/form-data", permitindo potencialmente que um atacante sobrescreva o objeto req.body.files e controle o parâmetro filepath, podendo copiar qualquer arquivo local do sistema em vez de um arquivo carregado pelo usuário.

O ataque pode ser executado através de múltiplas etapas: usando a primitiva de leitura arbitrária para acessar o banco de dados localizado em "/home/node/.n8n/database.sqlite" e carregá-lo na base de conhecimento, extrair o ID do usuário administrador, email e senha hash usando a interface de chat, usar novamente a primitiva de leitura arbitrária para carregar um arquivo de configuração e extrair a chave secreta de criptografia, usar as informações obtidas para forjar um cookie de sessão falso e obter acesso administrativo, e finalmente alcançar execução remota de código criando um novo fluxo de trabalho com um nó de "Execute Command". A centralização de credenciais e acessos no n8n torna a falha particularmente perigosa, pois a plataforma frequentemente é confiada com segredos de alto valor e amplo acesso porque orquestra fluxos de trabalho através de todo o patrimônio digital de uma organização, conectando sistemas incontáveis como Google Drive organizacional, chaves de API OpenAI, dados do Salesforce, sistemas IAM, processadores de pagamento, bancos de dados de clientes e pipelines de CI/CD.

A Cyera informou que reportou a vulnerabilidade de forma privada em 9 de novembro de 2025, e a equipe de segurança do n8n confirmou o problema no dia seguinte, lançando uma correção silenciosamente em 18 de novembro como parte da versão 1.121.0, semanas antes do bug ser publicamente atribuído um identificador CVE. A vulnerabilidade afeta todas as versões do n8n anteriores e incluindo a 1.65.0, tendo sido corrigida na versão 1.121.0, embora as versões mais recentes da biblioteca sejam 1.123.10, 2.1.5, 2.2.4 e 2.3.0. Dados da plataforma de gerenciamento de superfície de ataque Censys indicam 26.512 hosts n8n expostos, com a grande maioria localizada nos Estados Unidos (7.079), Alemanha (4.280), França (2.655), Brasil (1.347) e Singapura (1.129). Esta é a quarta vulnerabilidade crítica divulgada pelo n8n nas últimas duas semanas, incluindo CVE-2025-68613, CVE-2025-68668 (N8scape) e CVE-2026-21877. Usuários são fortemente aconselhados a atualizar para a versão corrigida ou posterior o mais rápido possível, evitar expor o n8n à internet e aplicar autenticação para todos os formulários, sendo recomendado como solução temporária restringir ou desabilitar endpoints de webhook e formulários acessíveis publicamente.

Este post foi traduzido e resumido a partir de sua versão original com o uso de IA, com revisão humana.

Com informações de The Register e The Hacker News