Une vulnérabilité maximale CVSS 10.0 dans la plateforme d'automatisation n8n permet la prise de contrôle non authentifiée. Cyera Research la baptise Ni8mare. Toutes les versions antérieures à 1.121.0 sont concernées.
En bref
- CVE-2026-21858 (CVSS 10.0) baptisée Ni8mare par Cyera Research : prise de contrôle non authentifiée des instances n8n.
- Toutes les versions antérieures et incluant 1.65.0 sont vulnérables ; correctif disponible en 1.121.0 publié en novembre 2025.
- Une seconde faille CVE-2026-21877 affecte les versions 0.123.0 à 1.121.2, exposant aussi les déploiements cloud.
Les faits
Cyera Research a publié l'analyse complète de CVE-2026-21858, codée Ni8mare, une vulnérabilité critique dans la plateforme open source d'automatisation n8n. Le score CVSS atteint le maximum de 10.0. La faille réside dans le node Form Webhook : la fonction de manipulation de fichiers ne vérifie pas le Content-Type des requêtes entrantes, permettant à un attaquant d'envoyer une requête JSON forgée et de définir manuellement req.body.files. Cette manipulation conduit à une lecture arbitraire de fichiers sur le serveur.
L'escalade vers RCE est triviale : n8n stocke les sessions d'authentification dans un cookie n8n-auth signé avec une clé secrète locale. En lisant la base SQLite et le fichier de configuration, l'attaquant forge un cookie de session admin valide et bypass l'authentification. L'exécution de code suit immédiatement via les nodes d'orchestration. Une seconde vulnérabilité CVE-2026-21877 a été divulguée en avril 2026 sur les versions 0.123.0 à 1.121.2, élargissant le périmètre aux déploiements cloud n8n.
Impact et exposition
n8n est massivement utilisée pour orchestrer des workflows IA, des intégrations SaaS et des automatisations DevOps. Une compromission expose tokens API stockés (OpenAI, AWS, Slack, GitHub), credentials de bases de données, et permet à l'attaquant de pivoter vers les services intégrés. Les instances self-hosted accessibles publiquement — fréquentes dans les démarches POC et homelabs — sont les premières cibles. Censys et Shodan recensent plusieurs milliers d'instances n8n exposées, dont beaucoup en versions vulnérables.
Recommandations
- Mettre à jour vers n8n 1.121.3 ou supérieur immédiatement, en self-hosted comme en cloud privé.
- Auditer les credentials stockés dans n8n et révoquer ceux exposés via une instance publiquement accessible.
- Placer toute instance n8n derrière un reverse proxy avec authentification (mTLS, SSO) ou un VPN ; aucune raison fonctionnelle d'exposer la console directement.
- Inspecter les workflows présents pour détecter d'éventuelles modifications malveillantes ou nouveaux webhooks créés sans ticket associé.
Alerte critique
Une faille CVSS 10.0 sur une plateforme stockant des dizaines de credentials par instance équivaut à une fuite de coffre-fort. Les équipes utilisant n8n doivent considérer leurs tokens API comme potentiellement compromis et les rotater systématiquement.
Mon instance n8n est en cloud n8n.io, suis-je concerné ?
L'éditeur a déployé le correctif côté cloud, mais la seconde faille CVE-2026-21877 a touché les versions cloud avant patch. Vérifiez la version exacte de votre déploiement et faites tourner un audit des credentials stockés. Si l'instance était exposée à des workflows déclenchés par webhook public, les identifiants doivent être considérés à risque.
Comment détecter une exploitation passée de Ni8mare ?
Inspectez les logs HTTP du reverse proxy à la recherche de requêtes POST vers les endpoints /webhook ou /form-webhook avec un Content-Type non multipart. Vérifiez aussi la création récente de comptes administrateurs et les modifications de workflows non tracées dans votre système de tickets.
Votre stack d'automatisation IA est-elle sécurisée ?
Ayi NEDJIMI réalise des audits ciblés des plateformes d'orchestration (n8n, Zapier self-hosted, Airflow) et de leur exposition aux risques d'exfiltration de credentials.
Demander un auditÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris · Habilitation Confidentiel Défense
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur GINA — le module d'authentification de Windows NT4 — et auteur de la version française du guide de sécurité Windows NT4 pour la NSA, il a forgé son expertise au cœur même des systèmes qui protègent des millions d'utilisateurs. Expert Judiciaire auprès de la Cour d'Appel de Paris et titulaire de l'Habilitation Confidentiel Défense, il intervient sur les dossiers les plus sensibles.
À la tête d'Ayi NEDJIMI Consultants, il dirige des missions de pentest d'infrastructures complexes, d'audit Active Directory, de rétro-ingénierie de malwares et de forensics numérique pour les forces de l'ordre et le secteur privé. Conférencier international (Europe & US), il a formé plus de 10 000 professionnels et réalisé plus de 100 missions d'audit — des PME aux grands groupes du CAC 40.
Certifié Microsoft MVP, Cisco CCIE, Juniper JNCIE-SEC et instructeur CEH, il développe également des solutions d'IA sur mesure (RAG, agents LLM, fine-tuning) et publie régulièrement des analyses techniques, guides méthodologiques et outils open source de référence.
Ressources & Outils de l'auteur
Articles connexes
170 procureurs ukrainiens piratés par des hackers liés à la Russie
Reuters révèle le 16 avril 2026 la compromission de 170 boîtes mail de procureurs et enquêteurs ukrainiens par des hackers liés à la Russie. 284 intrusions documentées sur 18 mois.
Cookeville Regional Medical Center : 337 917 patients touchés par Rhysida
Cookeville Regional Medical Center (Tennessee) a notifié le 16 avril 2026 plus de 337 000 patients d'une fuite de données suite à un ransomware Rhysida survenu en juillet 2025. 500 Go exfiltrés.
McGraw Hill : 13,5 millions d'emails fuités via Salesforce
McGraw Hill confirme en avril 2026 une fuite de 13,5 millions d'emails liée à une mauvaise configuration Salesforce, après une tentative d'extorsion.
Commentaires (1)
Laisser un commentaire