CVE-2026-21858
Mis à jour :
Ni8mare : Une faille critique dans n8n permet l’exécution de commandes à distance
Une vulnérabilité critique, nommée “Ni8mare” (CVE-2026-21858), a été découverte dans la plateforme d’automatisation de flux de travail n8n. Cette faille est due à un problème de confusion de type de contenu (“Content-Type confusion”) dans la fonction formWebhook().
La fonction ne vérifie pas correctement si le type de contenu d’une requête HTTP entrante est bien “multipart/form-data” avant de traiter des fichiers. Un attaquant non authentifié peut ainsi manipuler l’objet req.body.files en envoyant des requêtes spécialement conçues.
Cela permet à un attaquant de lire des fichiers de manière arbitraire sur le serveur n8n et potentiellement d’exécuter des commandes sur le système sous-jacent.
Points Clés :
- Nom de la vulnérabilité : Ni8mare
- CVE : CVE-2026-21858
- Plateforme affectée : n8n (versions jusqu’à 1.65.0 incluses)
- Type de faille : Confusion de type de contenu (“Content-Type confusion”)
- Impact : Lecture arbitraire de fichiers, exécution de commandes à distance (RCE)
Vulnérabilités exploitées (selon un tweet) :
- LFI (Local File Inclusion) via confusion de type de contenu.
- Possibilité de lire
/proc/self/environpour trouver le répertoire personnel. - Vol de clé de chiffrement et de base de données.
- Usurpation de jeton JWT d’administrateur.
- Contournement de l’injection d’expression pour échapper au sandbox.
- Exécution de commandes à distance en tant que root.
Recommandations :
La vulnérabilité a été corrigée dans la version 1.121.0 de n8n, publiée le 18 novembre 2025. Il est fortement recommandé de mettre à jour la plateforme vers cette version ou une version ultérieure pour remédier à ce problème.