'Ni8mare'-kwetsbaarheid treft n8n-platform met 10.0-score

donderdag, 8 januari 2026 (09:09) - Techzine

In dit artikel:

Beveiligingsonderzoekers van Cyera ontdekten een kritieke kwetsbaarheid in n8n, het veelgebruikte workflow-automatiseringsplatform. De fout (CVE‑2026‑21858, CVSS 10.0) maakt het mogelijk lokale n8n‑instanties volledig over te nemen; er is geen workaround en gebruikers moeten upgraden naar versie 1.121.0 of hoger.

De zwakke plek — door onderzoeker Dor Attias gepubliceerd begin januari en door Cyera openbaar gemaakt — zit in de webhook‑verwerking: een “Content‑Type Confusion” maakt het mogelijk de Content‑Type header te manipuleren zodat req.body.files wordt overschreven. Daardoor kan een aanvaller willekeurige bestanden van de server uitlezen. Op Docker‑installaties liggen gevoelige bestanden lokaal, zoals de SQLite‑database (/home/node/.n8n/database.sqlite) en het configbestand met de sleutel voor het ondertekenen van sessiecookies.

Door de uitlezing van die bestanden kan een aanvaller gebruikersgegevens (IDs, e‑mailadressen, gehashte wachtwoorden) en de encryptiesleutel bemachtigen. Met die sleutel kan een vals admin‑sessiecookie worden geconstrueerd en inloggen als beheerder. Eenmaal admin volstaat het aanmaken van een “Execute Command”‑node om commando’s op het onderliggende systeem uit te voeren en volledige controle te krijgen (Remote Code Execution).

De impact is groot omdat n8n vaak een centrale rol speelt in automatiseringslandschappen en verbindingen heeft met Google Drive, OpenAI, Salesforce, IAM, betaalverwerkers, databases en CI/CD‑pipelines. Gecompromitteerde API‑credentials, OAuth‑tokens en databaseverbindingen bieden ruime mogelijkheden voor laterale bewegingen en datadiefstal. Cyera toont dit aan met een realistisch voorbeeld waarbij een aanvaller via een Form node in plaats van een document bijvoorbeeld /etc/passwd inlaadt en via de zoek‑chat opvraagt.

n8n kreeg de melding in november en bracht op 18 november versie 1.121.0 uit met een patch. Gebruikers moeten zo snel mogelijk updaten naar 1.121.0 of nieuwer; er zijn geen officiële workarounds. Cyera raadt daarnaast aan n8n niet onnodig aan het internet bloot te stellen en authenticatie te verplichten voor alle Forms.