Principais Pontos
- Uma vulnerabilidade crítica de Execução Remota de Código (RCE) não autenticada (CVE-2026-21858, CVSS 10.0) afeta o n8n, uma plataforma de automação de fluxo de trabalho amplamente utilizada.
- A vulnerabilidade permite o comprometimento total de instâncias n8n implantadas localmente, incluindo acesso arbitrário a arquivos, bypass de autenticação e execução de comandos.
- O problema foi descoberto e divulgado de forma responsável pela Cyera Research Labs, que o nomeou 'Ni8mare', com patches lançados logo em seguida.
- Organizações que executam versões afetadas do n8n devem atualizar imediatamente e revisar a exposição de Forms e Webhooks.
- Divulgações recentes destacam plataformas de automação como superfícies de ataque de alto impacto devido ao seu acesso a credenciais, APIs e sistemas internos.
Além da CVE-2026-21858, o n8n divulgou outras vulnerabilidades críticas no mesmo período, incluindo problemas que envolvem acesso arbitrário a arquivos e execução remota de código autenticada. Embora as causas-raiz difiram, elas reforçam coletivamente a importância de atualizações oportunas e da minimização da exposição dos pontos de entrada do fluxo de trabalho.
TL;DR: Como Verificar Se Você Foi Afetado
Você pode ser afetado se estiver executando uma instância n8n auto-hospedada em uma versão dentro dos intervalos afetados divulgados pelo n8n, especialmente versões anteriores a 1.121.0, e em alguns casos anteriores a 1.121.3, dependendo da configuração e dos recursos habilitados. O risco é maior onde Forms ou Webhooks são acessíveis publicamente.
Opção 1: Use o Aikido (Grátis)
O Aikido ajuda as equipes a identificar:
- instâncias n8n executando versões vulneráveis
- Forms e Webhooks expostos à internet
- Configurações de fluxo de trabalho que aumentam significativamente a explorabilidade
Essa visibilidade está disponível na versão gratuita da plataforma Aikido.
Opção 2: Verificação Manual
- Verifique sua versão do n8n em execução
- Revise se os nós de Form aceitam entrada não autenticada
- Inspecione a exposição dos endpoints /form e /webhook
- Revise os nós habilitados que permitem acesso a arquivos ou execução de comandos
Etapas de Remediação
Organizações que executam versões afetadas devem:
- Atualizar o n8n para a versão 1.121.0 ou posterior, e para a 1.121.3 onde aplicável
- Restringir a exposição desnecessária do n8n à internet
- Exigir autenticação para todos os Forms
- Rotacionar chaves de API, tokens OAuth e credenciais armazenadas em workflows
- Revisar logs de execução de workflow em busca de atividades suspeitas
- Limitar ou desabilitar o nó Execute Command, a menos que seja estritamente necessário
Quem é Impactado
Você pode ser impactado se:
- Você opera uma instância n8n implantada localmente
- Sua versão está dentro dos intervalos afetados divulgados pelo n8n
- Você expõe nós de Form ou Webhook a usuários não confiáveis
Embora algumas vulnerabilidades do n8n divulgadas recentemente exijam um usuário autenticado, os caminhos de ataque mais severos envolvem acesso não autenticado a Forms ou Webhooks expostos publicamente. Esses problemas afetam principalmente implantações auto-hospedadas, e não ambientes SaaS gerenciados.
Contexto
O n8n é amplamente utilizado para orquestrar workflows em serviços de Cloud, ferramentas internas, sistemas de IA e processos de negócios.
Por isso, uma única instância n8n frequentemente tem amplo acesso a sistemas internos, credenciais e tokens privilegiados, e a capacidade de acionar ações em diferentes ambientes. Isso torna as plataformas de automação um alvo de alto valor para atacantes.
Sobre o que é o Ataque?
A CVE-2026-21858 explora uma falha de confusão de Content-Type na forma como o n8n analisa requisições HTTP de entrada para Form Webhooks.
Em termos gerais:
- O comportamento de análise da requisição depende do cabeçalho Content-Type
- Certa lógica de tratamento de arquivos assume uploads multipart
- Atacantes podem sobrescrever referências internas de arquivos usando JSON manipulado
Isso permite que os atacantes:
- Ler arquivos arbitrários do disco
- Extrair Secrets e bancos de dados
- Forjar sessões de autenticação
- Executar comandos arbitrários
Impacto Inicial
De acordo com a pesquisa da Cyera:
- Estima-se que 100.000 servidores possam estar expostos globalmente
- Organizações em diversas indústrias são afetadas
- Ativos potencialmente expostos incluem:
- Cloud e credenciais de API
- Tokens OAuth
- Secrets de CI/CD
- Dados sensíveis de negócios
- Cloud e credenciais de API
Análise Técnica Aprofundada
Onde a Vulnerabilidade Residia
A falha reside no nó Form Webhook, que processa uploads de arquivos.
Ao contrário de outros manipuladores de webhook, este caminho não impõe estritamente a validação de conteúdo multipart, assume que objetos de arquivo internos são confiáveis e copia caminhos de arquivo controlados pelo atacante para armazenamento persistente.
O Que Poderia Fazer
Ao encadear esta falha, atacantes podem:
- Ler arquivos como /etc/passwd
- Extrair o banco de dados SQLite local
- Recuperar chaves de criptografia
- Forjar sessões de administrador válidas
- Executar comandos arbitrários de SO
Prova de Conceito (Alto Nível)
A Cyera demonstrou uma cadeia de comprometimento completa:
- Leitura arbitrária de arquivos via submissão de formulário
- Extração de credenciais e Secrets do banco de dados
- Falsificação de sessão usando material de assinatura recuperado
- Execução remota de código completa
Por que essas vulnerabilidades ocorrem
Esses problemas tendem a surgir quando:
- A entrada do usuário influencia objetos internos confiáveis
- As suposições de Content-Type são implícitas em vez de impostas
- Plataformas acumulam altos privilégios e ampla conectividade
- O endurecimento da segurança fica aquém da expansão de recursos
FAQ: Vulnerabilidades Críticas do n8n Explicadas
Este é o mesmo problema que outras CVEs recentes do n8n?
Não. CVE-2026-21858 é uma vulnerabilidade de execução remota de código não autenticada relacionada ao tratamento inadequado de requisições de webhook e formulário.
Outros avisos recentes do n8n descrevem problemas diferentes, incluindo vulnerabilidades autenticadas envolvendo acesso ou gravação arbitrária de arquivos. Embora tecnicamente distintas, elas expõem riscos semelhantes quando os pontos de entrada do fluxo de trabalho são amplamente acessíveis.
Isso afeta o n8n Cloud ou apenas implantações auto-hospedadas?
Este problema afeta principalmente instâncias n8n auto-hospedadas.
Os caminhos de ataque mais severos dependem do acesso a arquivos locais e Secrets no nível da instância, que não são expostos da mesma forma em ambientes gerenciados.
A exploração requer autenticação?
Não. Para CVE-2026-21858, a autenticação não é necessária se os endpoints vulneráveis estiverem expostos.
Caminhos de ataque não autenticados geralmente apresentam maior risco porque podem ser explorados remotamente e em escala.
Se eu atualizar, estarei totalmente protegido?
A atualização para as versões corrigidas aborda as vulnerabilidades conhecidas. No entanto, a segurança também depende da configuração.
As equipes devem combinar as atualizações com exposição reduzida, formulários autenticados e revisão cuidadosa dos nós de fluxo de trabalho de alto risco.
Por que as plataformas de automação estão sendo alvo com mais frequência?
Plataformas de automação conectam muitos sistemas e detêm credenciais privilegiadas. Comprometer uma plataforma pode fornecer acesso a múltiplos sistemas downstream, tornando-as alvos atraentes para atacantes.
Como a Aikido ajuda com problemas como este?
A Aikido ajuda as equipes a:
- Detectar plataformas de automação vulneráveis em ambientes reais
- Identificar Forms, Webhooks expostos e pontos de entrada de workflow arriscados
- Priorizar problemas com base em caminhos de exploração reais, não apenas na gravidade de CVE
- Agir rapidamente com orientação clara para remediação
Conclusão
Esta vulnerabilidade destaca uma realidade mais ampla. Plataformas de automação tornaram-se infraestruturas críticas.
Protegê-las exige aplicação de patches em tempo hábil, exposição reduzida e visibilidade de como as vulnerabilidades podem ser realmente exploradas em ambientes reais.
Apêndice
- CVE: CVE-2026-21858
- Versões Afetadas: Versões anteriores a 1.121.0 e, em alguns casos, anteriores a 1.121.3
- Tipo de Ataque: Execução Remota de Código Não Autenticada
- Componentes: Form Webhook, Manipulação de Arquivos, Gerenciamento de Sessão
Referências
- Cyera Research Labs: Execução Remota de Código Não Autenticada em n8n
- Avisos de Segurança do GitHub
- Aikido Intel
<script type="application/ld+json">
{
"@context": "https://schema.org",
"@graph": [
{
"@type": "Organization",
"@id": "https://www.aikido.dev/#organization",
"name": "Aikido Security",
"url": "https://www.aikido.dev/",
"logo": {
"@type": "ImageObject",
"@id": "https://www.aikido.dev/#logo",
"url": "https://cdn.prod.website-files.com/642adcaf364024552e71df01/642adcaf364024443a71df7a_logo-full-dark.svg"
}
"sameAs": [
"https://www.linkedin.com/company/aikido-security/",
"https://x.com/aikidosecurity",
"https://www.youtube.com/@aikidosecurity"
]
}
{
"@type": "WebSite",
"@id": "https://www.aikido.dev/#website",
"url": "https://www.aikido.dev/",
"name": "Aikido",
"publisher": {
"@id": "https://www.aikido.dev/#organization"
}
"inLanguage": "en"
}
{
"@type": "WebPage",
"@id": "https://www.aikido.dev/blog/n8n-rce-vulnerability-cve-2026-21858#webpage",
"url": "https://www.aikido.dev/blog/n8n-rce-vulnerability-cve-2026-21858",
"name": "Vulnerabilidade Crítica do n8n (CVE-2026-21858) | RCE Não Autenticado Explicado",
"isPartOf": {
"@id": "https://www.aikido.dev/#website"
}
"inLanguage": "en",
"breadcrumb": {
"@id": "https://www.aikido.dev/blog/n8n-rce-vulnerability-cve-2026-21858#breadcrumb"
}
}
{
"@type": "BreadcrumbList",
"@id": "https://www.aikido.dev/blog/n8n-rce-vulnerability-cve-2026-21858#breadcrumb",
"itemListElement": [
{
"@type": "ListItem",
"position": 1,
"name": "Início",
"item": "https://www.aikido.dev/"
}
{
"@type": "ListItem",
"position": 2,
"name": "Blog"
"item": "https://www.aikido.dev/blog"
}
{
"@type": "ListItem",
"posição": 3,
"nome": "Vulnerabilidades e Ameaças",
"item": "https://www.aikido.dev/blog"
}
{
"@type": "ListItem",
"posição": 4,
"nome": "Vulnerabilidade Crítica no n8n Permite Execução Remota de Código Não Autenticada (CVE-2026-21858)",
"item": "https://www.aikido.dev/blog/n8n-rce-vulnerability-cve-2026-21858"
}
]
}
{
"@type": "Pessoa",
"@id": "https://www.aikido.dev/team-members/sooraj-shah#person",
"nome": "Sooraj Shah",
"url": "https://www.aikido.dev/team-members/sooraj-shah",
"jobTitle": "Líder de Marketing de Conteúdo",
"worksFor": {
"@id": "https://www.aikido.dev/#organization"
}
"sameAs": [
"https://www.linkedin.com/in/soorajshah/"
],
"image": {
"@type": "ImageObject",
"url": "https://cdn.prod.website-files.com/642adcaf364024654c71df23/685041c2836d827b7f40d3ef_Sooraj-Shah.jpg"
}
}
{
"@type": "BlogPosting",
"@id": "https://www.aikido.dev/blog/n8n-rce-vulnerability-cve-2026-21858#blogposting",
"mainEntityOfPage": {
"@id": "https://www.aikido.dev/blog/n8n-rce-vulnerability-cve-2026-21858#webpage"
}
"headline": "Vulnerabilidade Crítica no n8n Permite Execução Remota de Código Não Autenticada (CVE-2026-21858)",
"description": "Uma vulnerabilidade crítica no n8n (CVE-2026-21858) permite a execução remota de código não autenticada em instâncias auto-hospedadas. Saiba quem é afetado e como remediar.",
"datePublished": "2026-01-08",
"dateModified": "2026-01-08",
"author": {
"@id": "https://www.aikido.dev/team-members/sooraj-shah#person"
}
"publisher": {
"@id": "https://www.aikido.dev/#organization"
}
"image": {
"@type": "ImageObject",
"@id": "https://www.aikido.dev/blog/n8n-rce-vulnerability-cve-2026-21858#primaryimage",
"url": "https://cdn.prod.website-files.com/642adcaf364024552e71df01/68d1233973be6f8e808d9e65_Frame%2017.svg"
}
"articleSection": "Vulnerabilidades e Ameaças"
"inLanguage": "en",
"keywords": [
"n8n",
"CVE-2026-21858",
"RCE",
"execução remota de código",
"vulnerabilidade",
"RCE não autenticado",
"segurança de automação de fluxo de trabalho"
]
}
{
"@type": "FAQPage",
"@id": "https://www.aikido.dev/blog/n8n-rce-vulnerability-cve-2026-21858#faq",
"mainEntity": [
{
"@type": "Pergunta",
"name": "É o mesmo problema que outras CVEs recentes do n8n?",
"acceptedAnswer": {
"@type": "Resposta",
"text": "Não. A CVE-2026-21858 é uma vulnerabilidade de execução remota de código não autenticada relacionada ao tratamento inadequado de solicitações de webhook e formulários. Outros avisos recentes do n8n descrevem problemas diferentes, incluindo vulnerabilidades autenticadas envolvendo acesso arbitrário a arquivos ou gravação de arquivos. Embora tecnicamente distintas, elas expõem riscos semelhantes quando os pontos de entrada do fluxo de trabalho são amplamente acessíveis."
}
}
{
"@type": "Pergunta",
"name": "Isso afeta o n8n Cloud ou apenas implantações auto-hospedadas?",
"acceptedAnswer": {
"@type": "Resposta",
"text": "Este problema afeta principalmente instâncias n8n auto-hospedadas. Os caminhos de ataque mais severos dependem do acesso a arquivos locais e Secrets de nível de instância, que não são expostos da mesma forma em ambientes gerenciados."
}
}
{
"@type": "Pergunta",
"name": "A exploração requer autenticação?",
"acceptedAnswer": {
"@type": "Resposta",
"text": "Não. Para a CVE-2026-21858, a autenticação não é necessária se os endpoints vulneráveis estiverem expostos. Caminhos de ataque não autenticados geralmente apresentam maior risco porque podem ser explorados remotamente e em escala."
}
}
{
"@type": "Pergunta",
"name": "Se eu atualizar, estou totalmente protegido?",
"acceptedAnswer": {
"@type": "Resposta",
"text": "A atualização para as versões corrigidas aborda as vulnerabilidades conhecidas. No entanto, a segurança também depende da configuração. As equipes devem combinar as atualizações com exposição reduzida, formulários autenticados e revisão cuidadosa dos nós de fluxo de trabalho de alto risco."
}
}
{
"@type": "Pergunta",
"name": "Por que as plataformas de automação estão sendo alvo com mais frequência?",
"acceptedAnswer": {
"@type": "Resposta",
"text": "Plataformas de automação conectam muitos sistemas e detêm credenciais privilegiadas. Comprometer uma plataforma pode fornecer acesso a múltiplos sistemas downstream, tornando-as alvos atraentes para atacantes."
}
}
{
"@type": "Pergunta",
"name": "Como o Aikido ajuda com problemas como este?",
"acceptedAnswer": {
"@type": "Resposta",
"text": "O Aikido ajuda as equipes a detectar plataformas de automação vulneráveis em ambientes reais, identificar formulários expostos, Webhooks e pontos de entrada de fluxo de trabalho de risco, priorizar problemas com base em caminhos de exploração reais (não apenas na gravidade da CVE), e agir rapidamente com orientações claras de remediação."
}
}
]
}
]
}
</script>
