Instrumentele de automatizare și integrare de aplicații sunt o componentă importantă a infrastructurii IT moderne. Unul dintre aceste instrumente, n8n, a fost recent afectat de o vulnerabilitate critică care poate compromite complet serverele pe care rulează.
În acest articol prezentăm în detaliu vulnerabilitatea CVE-2026-21858, riscurile asociate, cine este afectat și ce măsuri trebuie luate pentru protejarea sistemelor.
Ce este n8n
n8n este o platformă de automatizare open-source folosită pentru conectarea de aplicații și servicii prin fluxuri de lucru. Este folosită pentru integrarea API-urilor, procesarea de evenimente, sincronizarea de date și automatizări complexe. Datorită flexibilității și opțiunilor de self-hosting, n8n a câștigat popularitate în mediile de dezvoltare și producție.
Descrierea vulnerabilității CVE-2026-21858
Vulnerabilitatea CVE-2026-21858, cunoscută uneori sub denumirea de „NI8MARE”, este o problemă de securitate de tip Remote Code Execution (RCE) cu un scor CVSS de 10.0, potrivit bazei de date oficiale a NVD. Aceasta poate permite unui atacator neautentificat să execute cod arbitrar pe serverul n8n.
Notă oficială privind vulnerabilitatea este publicată de Direcția Națională de Securitate Cibernetică din România:
https://www.dnsc.ro/citeste/alerta-cve-2026-21858-vulnerabilitate-critic-in-n8n
Detalii tehnice și descrierea impactului pot fi găsite și în baza de date NVD:
https://nvd.nist.gov/vuln/detail/CVE-2026-21858
De ce este vulnerabilitatea gravă
CVE-2026-21858 este considerată critică din următoarele motive:
- exploatarea nu necesită autentificare;
- permiterea executării de cod arbitrar pe server;
- posibilitatea accesului la fișierele sistemului, chei API și alte resurse sensibile;
- compromiterea completă a instanței afectate.
Vulnerabilitatea poate fi exploatată printr-o cerere web special construită către endpoint-urile expuse public, cum ar fi webhook-urile, fără a fi necesare credențiale valide.
Cum funcționează exploatarea
Problema ține de modul în care n8n procesează datele primite la webhook-uri sau în timpul încărcării de fișiere. Un payload construit adecvat poate determina serverul să trateze greșit tipul de conținut și să execute comenzi neautorizate.
O descriere tehnică a mecanismului de atac este prezentată în analiza publicată de Upwind:
https://www.upwind.io/feed/cve-2026-21858-n8n-unauthenticated-rce
Cine este afectat
Vulnerabilitatea afectează principal instanțele self-hosted de n8n care rulează versiuni până la 1.121.0 inclusiv. Dacă serverele n8n sunt expuse public, fără filtru de acces, acestea sunt vulnerabile indiferent dacă există autentificare la nivelul aplicației sau nu.
Instanțele găzduite pe n8n.cloud pot să fi fost deja actualizate de către furnizor, dar este esențial să verificați acest lucru.
Măsuri de protecție
Actualizarea n8n
Cea mai eficientă măsură de protecție este actualizarea la cea mai recentă versiune a n8n, în care această vulnerabilitate a fost remediată.
Note de versiune și informații despre actualizări:
https://docs.n8n.io/reference/release-notes
Restricționarea accesului
Dacă nu se poate face imediat actualizarea:
- restricționați accesul la webhook-uri și alte endpoint-uri sensibile prin firewall sau prin IP whitelisting;
- folosiți infrastructură de protecție la nivel de rețea;
- dezactivați endpoint-urile expuse public neutilizate.
Monitorizarea traficului și a logurilor
Monitorizați jurnalizarea și traficul pentru:
- cereri suspecte către webhook-uri;
- fișiere încărcate sau cereri de tip neobișnuit;
- semne de comportament anormal în loguri.
Regenerarea cheilor și a tokenurilor
După actualizare și auditarea serverului, se recomandă regenerarea cheilor API, tokenurilor și secretelor, pentru a elimina orice posibil vector de acces compromis.
Concluzii
Vulnerabilitatea CVE-2026-21858 prezintă un risc semnificativ pentru orice sistem care folosește n8n în producție sau în medii accesibile publicului. Exploatarea acesteia poate duce la compromiterea completă a serverului, accesul la date sensibile și pierderea controlului asupra infrastructurii.
Este esențial să aplicați actualizările disponibile, să restricționați accesul la endpoint-uri și să monitorizați serverele pentru orice comportament anormal.