Quase 60 mil instâncias do n8n expostas na internet continuam vulneráveis a uma falha crítica apelidada de "Ni8mare".
O n8n é uma plataforma open-source de automação de workflows, que permite conectar diferentes aplicações e serviços por meio de conectores pré-configurados e de uma interface visual baseada em nós.
Ela facilita a automação de tarefas repetitivas sem a necessidade de programação.
Muito utilizada no desenvolvimento de IA, a plataforma automatiza a ingestão de dados, bem como a criação de agentes de IA e pipelines RAG.
Conta com mais de 100 milhões de downloads no Docker Hub e cerca de 50 mil downloads semanais no npm.
Por funcionar como um hub central de automação, o n8n normalmente armazena chaves de API, tokens OAuth, credenciais de banco de dados, acessos a armazenamento em nuvem, segredos de CI/CD e dados empresariais, o que o torna um alvo atrativo para ameaças.
A vulnerabilidade, registrada como CVE-2026-21858, decorre de uma falha na validação de entradas que permite a um invasor remoto — mesmo sem autenticação — assumir o controle de instâncias locais do n8n após obter acesso a arquivos no servidor subjacente.
Segundo a equipe do n8n, “um workflow vulnerável pode conceder acesso a um invasor remoto não autenticado, o que pode resultar na exposição de informações armazenadas no sistema e permitir comprometimentos adicionais, dependendo da configuração e do uso do workflow”.
Para que uma instância do n8n esteja vulnerável, é necessário que esteja ativo um workflow com um gatilho do tipo Form Submission que aceite um elemento de arquivo, além de um nó Form Ending que retorne um arquivo binário.
Os pesquisadores da Cyera, que descobriram a falha e a reportaram ao n8n em novembro, explicam que a vulnerabilidade ocorre devido a uma confusão no content-type durante o parsing dos dados.
Esse ponto fraco pode ser explorado para expor segredos armazenados, forjar cookies de sessão e burlar autenticação, injetar arquivos sensíveis em workflows ou até executar comandos arbitrários.
No último fim de semana, o grupo de monitoramento de segurança na internet Shadowserver identificou 105.753 instâncias vulneráveis expostas, das quais 59.558 permaneciam abertas no domingo.
Mais de 28 mil IPs vulneráveis foram detectados nos Estados Unidos e mais de 21 mil na Europa.
Para se proteger, os administradores devem atualizar suas instâncias para a versão 1.121.0 ou superior o quanto antes.
Embora não exista um workaround oficial contra o Ni8mare, quem não puder atualizar imediatamente pode mitigar riscos restringindo ou desabilitando endpoints públicos de webhooks e formulários.
A equipe do n8n também disponibiliza um template de workflow para que administradores possam escanear suas instâncias em busca de workflows potencialmente vulneráveis.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...