CVE-2026-21858
Mis à jour :
Exploitation de la vulnérabilité “Ni8mare” dans n8n
Une faille critique, nommée “Ni8mare” (CVE-2026-21858), a été découverte dans la plateforme d’automatisation de flux de travail n8n. Cette vulnérabilité découle d’une confusion de type de contenu dans la fonction formWebhook(), qui gère les soumissions de formulaires. Le système ne valide pas correctement l’en-tête Content-Type des requêtes HTTP entrantes, qui doit être “multipart/form-data”, avant de traiter les fichiers.
Points Clés:
- Nature de la faille: Confusion de type de contenu (Content-Type confusion).
- Fonction affectée:
formWebhook(). - Attaquant potentiel: Non authentifié.
- Action de l’attaquant: Manipuler l’objet
req.body.filesvia des requêtes spécialement conçues. - Conséquences: Lecture arbitraire de fichiers sur le serveur n8n, potentiellement escalade vers l’exécution de commandes arbitraires sur le système sous-jacent.
- Versions affectées: Jusqu’à la version 1.65.0 incluse.
- Version corrigée: 1.121.0 (publiée le 18 novembre 2025).
Vulnérabilités:
- CVE-2026-21858: Permet la lecture arbitraire de fichiers (Local File Inclusion - LFI) grâce à la confusion de type de contenu. La combinaison avec d’autres techniques peut mener à une exécution de code à distance (RCE) avec des privilèges élevés (“Unauthenticated to Root RCE”).
Recommandations:
- Mettre à jour la plateforme n8n vers la version 1.121.0 ou une version ultérieure afin de corriger cette vulnérabilité.