De fleste kritiske sårbarheter krever at angriperen allerede er innlogget. Ni8mare krever ingenting. CVE-2026-21858 i automatiseringsverktøyet n8n har fått CVSS 10,0, høyest mulig score, og lar en uautentisert angriper ta full kontroll over en eksponert instans. Funnet kommer fra Cyera Research Labs.
Roten er en Content-Type-forveksling i n8n sin håndtering av skjema-webhooks: en filhåndteringsfunksjon kalles uten å sjekke om Content-Type faktisk er multipart/form-data. Det lar angriperen manipulere req.body.files og lese vilkårlige filer i stedet for å laste opp legitime. Derfra er veien til kjøring av kode kort:
- Les
/home/node/.n8n/database.sqliteog hent ut admin-legitimasjon. - Les
/home/node/.n8n/configfor krypteringsnøklene. - Forfalsk en gyldig admin-sesjonscookie.
- Lag en arbeidsflyt med en «Execute Command»-node og få shell-tilgang.
Sårbarheten rammer n8n til og med versjon 1.65.0 og er rettet i 1.121.0, som kom 18. november 2025, samt i 1.123.10, 2.1.5, 2.2.4 og 2.3.0. Tre samtidige CVE-er i samme runde krever innlogget bruker. Ni8mare gjør ikke det, og det er nettopp derfor internett-eksponerte instanser er i akutt fare. Mange kobler n8n til KI-agenter og automatiseringspipelines, så en kapret instans kan nå langt inn i egne systemer.
Hva bør du gjøre?
- Oppdater til n8n 1.121.0 eller nyere umiddelbart, eventuelt til 2.x-rettelsene.
- Ta n8n vekk fra åpent internett og legg den bak autentisering eller VPN.
- Deaktiver offentlige webhooks og Form-endepunkter midlertidig hvis du ikke kan oppdatere med en gang.