Une vulnérabilité maximale CVSS 10.0 dans la plateforme d'automatisation n8n permet la prise de contrôle non authentifiée. Cyera Research la baptise Ni8mare. Toutes les versions antérieures à 1.121.0 sont concernées.
En bref
- CVE-2026-21858 (CVSS 10.0) baptisée Ni8mare par Cyera Research : prise de contrôle non authentifiée des instances n8n.
- Toutes les versions antérieures et incluant 1.65.0 sont vulnérables ; correctif disponible en 1.121.0 publié en novembre 2025.
- Une seconde faille CVE-2026-21877 affecte les versions 0.123.0 à 1.121.2, exposant aussi les déploiements cloud.
Les faits
Cyera Research a publié l'analyse complète de CVE-2026-21858, codée Ni8mare, une vulnérabilité critique dans la plateforme open source d'automatisation n8n. Le score CVSS atteint le maximum de 10.0. La faille réside dans le node Form Webhook : la fonction de manipulation de fichiers ne vérifie pas le Content-Type des requêtes entrantes, permettant à un attaquant d'envoyer une requête JSON forgée et de définir manuellement req.body.files. Cette manipulation conduit à une lecture arbitraire de fichiers sur le serveur.
L'escalade vers RCE est triviale : n8n stocke les sessions d'authentification dans un cookie n8n-auth signé avec une clé secrète locale. En lisant la base SQLite et le fichier de configuration, l'attaquant forge un cookie de session admin valide et bypass l'authentification. L'exécution de code suit immédiatement via les nodes d'orchestration. Une seconde vulnérabilité CVE-2026-21877 a été divulguée en avril 2026 sur les versions 0.123.0 à 1.121.2, élargissant le périmètre aux déploiements cloud n8n.
Impact et exposition
n8n est massivement utilisée pour orchestrer des workflows IA, des intégrations SaaS et des automatisations DevOps. Une compromission expose tokens API stockés (OpenAI, AWS, Slack, GitHub), credentials de bases de données, et permet à l'attaquant de pivoter vers les services intégrés. Les instances self-hosted accessibles publiquement — fréquentes dans les démarches POC et homelabs — sont les premières cibles. Censys et Shodan recensent plusieurs milliers d'instances n8n exposées, dont beaucoup en versions vulnérables.
Recommandations
- Mettre à jour vers n8n 1.121.3 ou supérieur immédiatement, en self-hosted comme en cloud privé.
- Auditer les credentials stockés dans n8n et révoquer ceux exposés via une instance publiquement accessible.
- Placer toute instance n8n derrière un reverse proxy avec authentification (mTLS, SSO) ou un VPN ; aucune raison fonctionnelle d'exposer la console directement.
- Inspecter les workflows présents pour détecter d'éventuelles modifications malveillantes ou nouveaux webhooks créés sans ticket associé.
Alerte critique
Une faille CVSS 10.0 sur une plateforme stockant des dizaines de credentials par instance équivaut à une fuite de coffre-fort. Les équipes utilisant n8n doivent considérer leurs tokens API comme potentiellement compromis et les rotater systématiquement.
Mon instance n8n est en cloud n8n.io, suis-je concerné ?
L'éditeur a déployé le correctif côté cloud, mais la seconde faille CVE-2026-21877 a touché les versions cloud avant patch. Vérifiez la version exacte de votre déploiement et faites tourner un audit des credentials stockés. Si l'instance était exposée à des workflows déclenchés par webhook public, les identifiants doivent être considérés à risque.
Comment détecter une exploitation passée de Ni8mare ?
Inspectez les logs HTTP du reverse proxy à la recherche de requêtes POST vers les endpoints /webhook ou /form-webhook avec un Content-Type non multipart. Vérifiez aussi la création récente de comptes administrateurs et les modifications de workflows non tracées dans votre système de tickets.
Votre stack d'automatisation IA est-elle sécurisée ?
Ayi NEDJIMI réalise des audits ciblés des plateformes d'orchestration (n8n, Zapier self-hosted, Airflow) et de leur exposition aux risques d'exfiltration de credentials.
Demander un auditÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
ayi@ayinedjimi-consultants.fr
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Articles connexes
FIRESTARTER : APT persistant sur les pare-feu Cisco ASA
CISA et le NCSC britannique alertent sur FIRESTARTER, un implant déployé par l'APT UAT-4356 sur les pare-feu Cisco ASA et Firepower. Le malware survit aux patchs et aux reboots logiciels.
ADT confirme une fuite : ShinyHunters menace 10 M de clients
Le géant américain de la sécurité résidentielle ADT confirme une fuite après une attaque vishing sur Okta SSO. ShinyHunters revendique 10 millions de dossiers et fixe un ultimatum au 27 avril.
Pack2TheRoot CVE-2026-41651 : root Linux pour tous (8.8)
Une faille critique dans PackageKit (CVE-2026-41651, CVSS 8.8) permet à tout utilisateur Linux non privilégié d'obtenir root sur la majorité des distributions, du serveur Ubuntu LTS au poste Fedora.
Commentaires (1)
Laisser un commentaire