07.01.2026
1 хв
426
Дослідники з кібербезпеки розкрили деталі критичної вразливості з максимальним рівнем небезпеки (CVSS 10.0) у платформі автоматизації n8n, яка дозволяє неавтентифікованим зловмисникам отримати повний контроль над уразливими інстансами.
Уразливість відстежується як CVE-2026-21858 та має кодову назву Ni8mare. Вона була виявлена дослідником Dor Attias із Cyera Research Labs у листопаді 2025 року. Помилка пов’язана з некоректною обробкою HTTP-запитів і дозволяє зловмиснику читати довільні файли на сервері, обходити автентифікацію адміністратора та зрештою виконувати довільні команди.
На відміну від попередніх критичних уразливостей n8n, ця атака не потребує жодних облікових даних. Вона використовує плутанину з заголовком Content-Type, що дозволяє маніпулювати об’єктом req.body.files і копіювати будь-які локальні файли з файлової системи сервера.
Проблема виникає в механізмі webhook-ів і обробки форм. Функція
formWebhook()викликає файлову логіку без перевірки, чи запит дійсно єmultipart/form-data. Це відкриває шлях до зчитування бази даних n8n, файлів конфігурації та ключів шифрування. Отримавши ці дані, атакувальник може підробити сесію адміністратора та створити workflow з вузлом виконання команд, що призводить до повного RCE.
За даними дослідників, компрометація n8n є особливо небезпечною, оскільки платформа централізовано зберігає API-ключі, OAuth-токени, облікові дані баз даних і доступи до хмарних сервісів.
Уразливість CVE-2026-21858 демонструє, наскільки небезпечними можуть бути automation-платформи у разі помилок безпеки. Один вразливий інстанс n8n може стати єдиною точкою повного компромету інфраструктури. Користувачам рекомендується терміново оновити систему, обмежити публічний доступ до webhook-ів і не розгортати n8n без автентифікації в інтернеті.
