Sebuah kerentanan keamanan dengan tingkat keparahan maksimum yang dijuluki Ni8mare memungkinkan penyerang jarak jauh tanpa autentikasi mengambil alih server n8n yang di-deploy secara lokal. Celah ini dinilai sangat berbahaya karena dapat dieksploitasi tanpa kredensial apa pun dan berdampak langsung pada infrastruktur otomasi yang kerap menyimpan data sensitif.
Kerentanan tersebut tercatat sebagai CVE-2026-21858 dan memperoleh skor keparahan sempurna, yakni 10 dari 10. Peneliti dari perusahaan keamanan data Cyera memperkirakan terdapat lebih dari 100.000 server n8n di seluruh dunia yang masih berada dalam kondisi rentan.
n8n merupakan platform otomasi alur kerja berbasis open-source yang memungkinkan pengguna menghubungkan berbagai aplikasi, API, dan layanan ke dalam workflow kompleks melalui antarmuka visual. Perangkat ini banyak dimanfaatkan untuk otomasi tugas, termasuk integrasi dengan layanan kecerdasan buatan dan large language model (LLM). Popularitasnya cukup tinggi, dengan puluhan ribu unduhan mingguan melalui npm serta ratusan juta unduhan di Docker Hub. Di ekosistem AI, n8n kerap digunakan untuk mengorkestrasi panggilan LLM, membangun AI agent, hingga mengelola pipeline RAG dan otomasi pengambilan data.
Celah Ni8mare memungkinkan penyerang memperoleh akses ke file pada server yang mendasari instalasi n8n melalui eksekusi workflow berbasis formulir tertentu. Menurut pengembang n8n, workflow yang rentan dapat memberikan akses kepada penyerang jarak jauh tanpa autentikasi, yang berpotensi mengekspos informasi sensitif dan membuka peluang kompromi lanjutan tergantung pada konfigurasi deployment serta cara workflow digunakan.
Penelitian Cyera mengungkap bahwa sumber masalah terletak pada mekanisme pemrosesan data berdasarkan header content-type pada webhook. Dalam kondisi normal, jika permintaan webhook ditandai sebagai multipart/form-data, n8n akan memperlakukannya sebagai unggahan file dan menggunakan parser khusus yang menyimpan file di lokasi sementara acak, sehingga pengguna tidak dapat mengontrol jalur penyimpanan file dan risiko path traversal dapat ditekan.
Namun, Cyera menemukan bahwa dengan mengatur content-type lain, seperti application/json, penyerang dapat melewati parser unggahan tersebut. Dalam skenario ini, n8n tetap memproses field terkait file tanpa memverifikasi apakah permintaan tersebut benar-benar berisi unggahan file yang valid. Akibatnya, penyerang dapat mengontrol metadata file sepenuhnya, termasuk jalur file, sehingga memungkinkan penyalinan file lokal apa pun dari sistem.
Dampak dari kelemahan ini sangat luas. Penyerang dapat membaca file arbitrer, mengekspos rahasia internal, menyuntikkan file sensitif ke dalam workflow, memalsukan cookie sesi untuk melewati autentikasi, hingga mengeksekusi perintah arbitrer pada sistem. Risiko ini semakin besar mengingat n8n sering menyimpan API key, token OAuth, kredensial basis data, akses cloud storage, rahasia CI/CD, serta data bisnis penting lainnya, menjadikannya pusat otomasi yang sangat bernilai bagi penyerang.
Celah Ni8mare pertama kali dilaporkan oleh Cyera kepada pengembang n8n pada 9 November 2025. Hingga saat ini, pengembang menyatakan belum tersedia solusi sementara resmi untuk menutup celah tersebut. Meski demikian, sebagai langkah mitigasi, administrator disarankan untuk membatasi atau menonaktifkan endpoint webhook dan formulir yang dapat diakses publik.
Tindakan paling direkomendasikan adalah segera memperbarui instalasi n8n ke versi 1.121.0 atau versi yang lebih baru. Pembaruan ini menjadi langkah krusial untuk mencegah eksploitasi aktif dan melindungi infrastruktur otomasi dari pengambilalihan penuh oleh pihak tidak bertanggung jawab.