En bref

  • CVE-2026-21858 (CVSS 10.0) baptisée Ni8mare par Cyera Research : prise de contrôle non authentifiée des instances n8n.
  • Toutes les versions antérieures et incluant 1.65.0 sont vulnérables ; correctif disponible en 1.121.0 publié en novembre 2025.
  • Une seconde faille CVE-2026-21877 affecte les versions 0.123.0 à 1.121.2, exposant aussi les déploiements cloud.

Les faits

Cyera Research a publié l'analyse complète de CVE-2026-21858, codée Ni8mare, une vulnérabilité critique dans la plateforme open source d'automatisation n8n. Le score CVSS atteint le maximum de 10.0. La faille réside dans le node Form Webhook : la fonction de manipulation de fichiers ne vérifie pas le Content-Type des requêtes entrantes, permettant à un attaquant d'envoyer une requête JSON forgée et de définir manuellement req.body.files. Cette manipulation conduit à une lecture arbitraire de fichiers sur le serveur.

L'escalade vers RCE est triviale : n8n stocke les sessions d'authentification dans un cookie n8n-auth signé avec une clé secrète locale. En lisant la base SQLite et le fichier de configuration, l'attaquant forge un cookie de session admin valide et bypass l'authentification. L'exécution de code suit immédiatement via les nodes d'orchestration. Une seconde vulnérabilité CVE-2026-21877 a été divulguée en avril 2026 sur les versions 0.123.0 à 1.121.2, élargissant le périmètre aux déploiements cloud n8n.

Impact et exposition

n8n est massivement utilisée pour orchestrer des workflows IA, des intégrations SaaS et des automatisations DevOps. Une compromission expose tokens API stockés (OpenAI, AWS, Slack, GitHub), credentials de bases de données, et permet à l'attaquant de pivoter vers les services intégrés. Les instances self-hosted accessibles publiquement — fréquentes dans les démarches POC et homelabs — sont les premières cibles. Censys et Shodan recensent plusieurs milliers d'instances n8n exposées, dont beaucoup en versions vulnérables.

Recommandations

  • Mettre à jour vers n8n 1.121.3 ou supérieur immédiatement, en self-hosted comme en cloud privé.
  • Auditer les credentials stockés dans n8n et révoquer ceux exposés via une instance publiquement accessible.
  • Placer toute instance n8n derrière un reverse proxy avec authentification (mTLS, SSO) ou un VPN ; aucune raison fonctionnelle d'exposer la console directement.
  • Inspecter les workflows présents pour détecter d'éventuelles modifications malveillantes ou nouveaux webhooks créés sans ticket associé.

Alerte critique

Une faille CVSS 10.0 sur une plateforme stockant des dizaines de credentials par instance équivaut à une fuite de coffre-fort. Les équipes utilisant n8n doivent considérer leurs tokens API comme potentiellement compromis et les rotater systématiquement.

Mon instance n8n est en cloud n8n.io, suis-je concerné ?

L'éditeur a déployé le correctif côté cloud, mais la seconde faille CVE-2026-21877 a touché les versions cloud avant patch. Vérifiez la version exacte de votre déploiement et faites tourner un audit des credentials stockés. Si l'instance était exposée à des workflows déclenchés par webhook public, les identifiants doivent être considérés à risque.

Comment détecter une exploitation passée de Ni8mare ?

Inspectez les logs HTTP du reverse proxy à la recherche de requêtes POST vers les endpoints /webhook ou /form-webhook avec un Content-Type non multipart. Vérifiez aussi la création récente de comptes administrateurs et les modifications de workflows non tracées dans votre système de tickets.

Votre stack d'automatisation IA est-elle sécurisée ?

Ayi NEDJIMI réalise des audits ciblés des plateformes d'orchestration (n8n, Zapier self-hosted, Airflow) et de leur exposition aux risques d'exfiltration de credentials.

Articles connexes :

Demander un audit

📎 Articles complémentaires