Hampir 60.000 instance n8n yang terekspos ke internet dilaporkan belum menambal sebuah kerentanan dengan tingkat keparahan maksimum yang dijuluki Ni8mare. Celah ini memungkinkan penyerang jarak jauh tanpa autentikasi untuk mengambil alih instance n8n yang dipasang secara lokal, berpotensi membuka akses ke data dan kredensial sensitif.
n8n merupakan platform otomasi alur kerja open-source yang banyak digunakan untuk menghubungkan berbagai aplikasi dan layanan melalui konektor siap pakai serta antarmuka visual berbasis node. Popularitasnya kian meningkat, khususnya dalam pengembangan AI untuk otomasi data ingestion, pembangunan agen AI, hingga retrieval-augmented generation (RAG). Platform ini tercatat memiliki lebih dari 100 juta pull di Docker Hub dan puluhan ribu unduhan mingguan melalui npm.
Sebagai pusat otomasi, n8n kerap menyimpan informasi bernilai tinggi seperti kunci API, token OAuth, kredensial basis data, akses penyimpanan cloud, rahasia CI/CD, hingga data bisnis. Kondisi ini menjadikannya target yang sangat menarik bagi pelaku ancaman siber.
Kerentanan Ni8mare dilacak sebagai CVE-2026-21858 dan bersumber dari kelemahan validasi input yang tidak memadai. Celah ini dapat dieksploitasi oleh penyerang tidak terautentikasi untuk mengendalikan instance n8n setelah memperoleh akses ke file pada server yang mendasarinya. Tim n8n menjelaskan bahwa instance berpotensi rentan jika memiliki alur kerja aktif dengan Form Submission trigger yang menerima elemen berkas dan Form Ending node yang mengembalikan file biner.
Peneliti dari Cyera, yang menemukan dan melaporkan Ni8mare ke tim n8n pada awal November, mengungkapkan bahwa masalah ini berkaitan dengan kebingungan content-type dalam proses parsing data. Eksploitasi celah ini dapat berujung pada kebocoran rahasia yang tersimpan di instance, pemalsuan session cookie untuk melewati autentikasi, penyisipan file sensitif ke dalam alur kerja, hingga eksekusi perintah arbitrer.
Skala paparan kerentanan ini terbilang besar. Selama akhir pekan, kelompok pemantau keamanan internet Shadowserver menemukan lebih dari 105.000 instance n8n yang belum ditambal dan terekspos secara online. Pada hari Minggu, jumlah tersebut masih berada di angka 59.558 instance, dengan lebih dari 28.000 alamat IP berada di Amerika Serikat dan lebih dari 21.000 di wilayah Eropa.
Untuk mencegah potensi serangan, administrator sangat dianjurkan segera memperbarui n8n ke versi 1.121.0 atau yang lebih baru. Tim pengembang menyatakan belum tersedia solusi mitigasi resmi selain pembaruan. Namun, bagi organisasi yang belum dapat melakukan upgrade secepatnya, pembatasan atau penonaktifan webhook dan endpoint formulir yang dapat diakses publik dapat membantu mengurangi risiko.
Selain itu, tim n8n menyediakan templat alur kerja khusus yang dapat digunakan administrator untuk memindai instance mereka dan mengidentifikasi alur kerja yang berpotensi rentan. Mengingat peran n8n sebagai pusat otomasi dan penyimpanan rahasia, penanganan cepat terhadap Ni8mare menjadi krusial untuk mencegah kompromi lanjutan di lingkungan produksi.