Resumo
Uma vulnerabilidade de execução remota de código sem autenticação em n8n — rastreada como CVE-2026-21858 — permite tomada total de instâncias auto‑hospedadas e expostas. O problema tem CVSS máximo e um exploit público; dezenas de milhares de hosts vulneráveis são acessíveis na internet.
Descoberta e escopo
O problema, apelidado por vários analistas de "Ni8mare" e documentado em avisos públicos, afeta todas as versões do n8n anteriores à 1.121.0. O boletim técnico e as análises citam um CVSS nominal de 10.0 e relatam que, segundo dados do Censys, 26.512 instâncias vulneráveis estão atualmente detectáveis e alcançáveis pela internet.
Vetor e cadeia de exploração
O vetor principal explora a forma como nós de webhook e o processamento de formulários tratam o Content-Type. Ao enviar requisições especialmente construídas que trocam multipart/form-data por application/json, o middleware incorreto ativa o parser de corpo normal em vez do parser de upload, permitindo que um atacante injete caminhos de ficheiros no objeto req.body.files.
Com esse primitivo de leitura arbitrária, o explorador pode acessar arquivos locais que contêm credenciais e segredos. O relatório descreve caminhos típicos em instalações do n8n, como /home/node/.n8n/database.sqlite e arquivos de configuração em /home/node/.n8n/config, onde tokens e segredos são frequentemente armazenados em texto claro.
Escalada até execução de código
Os pesquisadores mostram que, com credenciais administrativas e segredos JWT extraídos, é possível forjar cookies de autenticação e obter acesso administrativo. Uma vez autenticado, o próprio nó "Execute Command" do n8n pode ser usado para executar comandos arbitrários no host — ação trivial que transforma uma leitura de ficheiro em RCE completo.
Impacto prático
- Compromisso de instâncias self‑hosted expostas, com potencial de escalonamento lateral para APIs, tokens OAuth, strings de conexão e buckets de armazenamento referenciados por workflows.
- Em ambientes empresariais, um n8n comprometido pode ser a "chave mestra" para fluxos de automação que ligam HR, finanças, pipelines CI/CD e serviços cloud.
- O exploit público combinado com dezenas de milhares de instâncias visíveis cria uma janela de risco elevada até que a correção esteja amplamente implantada.
O que já foi feito e recomendações
O projeto n8n liberou a versão 1.121.0 em 18 de novembro de 2025 para corrigir a falha; a atribuição do CVE e o relatório público ocorreram em janeiro de 2026. As recomendações técnicas publicadas incluem:
- Aplicar imediatamente a atualização para n8n 1.121.0 ou superior.
- Evitar exposição direta à internet: colocar instâncias atrás de firewall ou acesso por VPN.
- Exigir autenticação para todos os Form nodes e revisar configurações de webhook.
- Auditar workflows e segredos armazenados; rotacionar credenciais possivelmente comprometidas.
Evidências e limites
As contagens de hosts vulneráveis citadas têm origem em varreduras de internet (Censys) e representam instâncias detectáveis; a cifra não implica que todas tenham sido efetivamente exploradas. O relatório também documenta um exploit funcional divulgado por pesquisadores, o que valida a exploração remota em ambientes reais.
Observações finais
Dada a função central que n8n desempenha em integrações e automações, operadores devem priorizar esta correção como alto impacto operacional. Se faltam dados locais sobre comprometimento (logs de workflow alterados, execuções não autorizadas), a falta de detecção não significa ausência de exploração — proceda com auditoria forense quando houver qualquer suspeita.