Points clés à retenir
- Une vulnérabilité critique d'exécution de code à distance (RCE) non authentifiée (CVE-2026-21858, CVSS 10.0) affecte n8n, une plateforme d'automatisation de workflows largement utilisée.
- La vulnérabilité permet un compromis complet des instances n8n déployées localement, y compris l'accès arbitraire aux fichiers, le contournement de l'authentification et l'exécution de commandes.
- Le problème a été découvert et divulgué de manière responsable par Cyera Research Labs, qui l'a nommé 'Ni8mare', avec des correctifs publiés peu de temps après.
- Les organisations utilisant des versions n8n affectées devraient mettre à niveau immédiatement et examiner l'exposition des formulaires et des webhooks.
- Les récentes divulgations mettent en évidence les plateformes d'automatisation comme des surfaces d'attaque à fort impact en raison de leur accès aux identifiants, aux API et aux systèmes internes.
En plus de CVE-2026-21858, n8n a divulgué d'autres vulnérabilités critiques au cours de la même période, y compris des problèmes impliquant l'accès arbitraire aux fichiers et l'exécution de code à distance authentifiée. Bien que les causes profondes diffèrent, elles renforcent collectivement l'importance des mises à niveau rapides et de la minimisation de l'exposition des points d'entrée des workflows.
TL;DR : Comment vérifier si vous êtes affecté
Vous pourriez être affecté si vous exécutez une instance n8n auto-hébergée sur une version se situant dans les plages affectées divulguées par n8n, en particulier les versions antérieures à 1.121.0, et dans certains cas antérieures à 1.121.3 selon la configuration et les fonctionnalités activées. Le risque est le plus élevé lorsque les formulaires ou les webhooks sont accessibles publiquement.
Option 1 : Utiliser Aikido (Gratuit)
Aikido aide les équipes à identifier :
- Instances n8n exécutant des versions vulnérables
- Formulaires et webhooks exposés sur Internet
- Configurations de workflow qui augmentent significativement l'exploitabilité
Cette visibilité est disponible dans la version gratuite de la plateforme Aikido.
Option 2 : Vérification manuelle
- Vérifiez votre version de n8n en cours d'exécution
- Vérifiez si les nœuds de formulaire acceptent des entrées non authentifiées
- Inspectez l'exposition des points de terminaison /form et /webhook
- Examinez les nœuds activés qui permettent l'accès aux fichiers ou l'exécution de commandes
Étapes de remédiation
Les organisations exécutant des versions affectées devraient :
- Mettez à niveau n8n vers la version 1.121.0 ou ultérieure, et vers 1.121.3 le cas échéant
- Restreignez l'exposition inutile de n8n sur Internet
- Exigez l'authentification pour tous les formulaires
- Renouvelez les clés API, les jetons OAuth et les identifiants stockés dans les workflows
- Examinez les journaux d'exécution des workflows pour détecter toute activité suspecte
- Limitez ou désactivez le nœud Execute Command sauf si cela est strictement nécessaire
Qui est impacté
Vous pourriez être impacté si :
- Vous exploitez une instance n8n déployée localement
- Votre version se situe dans les plages affectées divulguées par n8n
- Vous exposez des nœuds Form ou Webhook à des utilisateurs non fiables
Bien que certaines vulnérabilités n8n récemment divulguées nécessitent un utilisateur authentifié, les chemins d'attaque les plus graves impliquent un accès non authentifié à des formulaires ou des webhooks exposés publiquement. Ces problèmes affectent principalement les déploiements auto-hébergés plutôt que les environnements SaaS gérés.
Contexte
n8n est largement utilisé pour orchestrer des workflows à travers les services cloud, les outils internes, les systèmes d'IA et les processus métier.
De ce fait, une seule instance n8n dispose souvent d'un accès étendu aux systèmes internes, à des identifiants et jetons privilégiés, et de la capacité de déclencher des actions dans différents environnements. Cela fait des plateformes d'automatisation une cible de grande valeur pour les attaquants.
En quoi consiste l'attaque ?
La CVE-2026-21858 exploite une faille de confusion de Content-Type dans la manière dont n8n analyse les requêtes HTTP entrantes destinées aux Form Webhooks.
En résumé :
- Le comportement d'analyse des requêtes dépend de l'en-tête Content-Type
- Une certaine logique de gestion des fichiers suppose des téléchargements multipart
- Les attaquants peuvent remplacer les références de fichiers internes en utilisant du JSON spécialement conçu
Cela permet aux attaquants de :
- Lire des fichiers arbitraires depuis le disque
- Extraire des secrets et des bases de données
- Forger des sessions d'authentification
- Exécuter des commandes arbitraires
Impact initial
Selon la recherche de Cyera :
- On estime qu'100 000 serveurs pourraient être exposés mondialement
- Des organisations de multiples secteurs d'activité sont affectées
- Les actifs potentiellement exposés incluent :
- Identifiants cloud et API
- Jetons OAuth
- Secrets CI/CD
- Données commerciales sensibles
- Identifiants cloud et API
Plongée technique
Où résidait la vulnérabilité
La faille réside dans le nœud Form Webhook, qui traite les téléchargements de fichiers.
Contrairement aux autres gestionnaires de webhook, ce chemin n'applique pas strictement la validation du contenu multipart, suppose que les objets de fichiers internes sont fiables et copie les chemins de fichiers contrôlés par l'attaquant dans un stockage persistant.
Ce que cela pouvait faire
En chaînant cette faille, les attaquants peuvent :
- Lire des fichiers tels que /etc/passwd
- Extraire la base de données SQLite locale
- Récupérer les clés de chiffrement
- Forger des sessions d'administration valides
- Exécuter des commandes arbitraires du système d'exploitation
Preuve de concept (Haut niveau)
Cyera a démontré une chaîne de compromission complète :
- Lecture arbitraire de fichiers via la soumission de formulaire
- Extraction des identifiants et des secrets depuis la base de données
- Forgerie de session en utilisant le matériel de signature récupéré
- Exécution de code à distance complète
Pourquoi ces vulnérabilités surviennent
Ces problèmes ont tendance à survenir lorsque :
- L'entrée utilisateur influence des objets internes de confiance
- Les hypothèses de Content-Type sont implicites plutôt qu'appliquées
- Les plateformes accumulent des privilèges élevés et une connectivité étendue
- Le durcissement de la sécurité prend du retard sur l'expansion des fonctionnalités
FAQ : Vulnérabilités critiques de n8n expliquées
S'agit-il du même problème que d'autres CVE n8n récentes ?
Non. CVE-2026-21858 est une vulnérabilité d'exécution de code à distance non authentifiée liée à une mauvaise gestion des requêtes de webhook et de formulaire.
D'autres avis récents concernant n8n décrivent des problèmes différents, y compris des vulnérabilités authentifiées impliquant un accès arbitraire aux fichiers ou des écritures de fichiers. Bien que techniquement distincts, ils exposent à des risques similaires lorsque les points d'entrée des workflows sont largement accessibles.
Cela affecte-t-il n8n Cloud ou uniquement les déploiements auto-hébergés ?
Ce problème affecte principalement les instances n8n auto-hébergées.
Les chemins d'attaque les plus graves reposent sur l'accès à des fichiers locaux et des secrets au niveau de l'instance, qui ne sont pas exposés de la même manière dans les environnements gérés.
L'exploitation nécessite-t-elle une authentification ?
Non. Pour CVE-2026-21858, l'authentification n'est pas requise si des endpoints vulnérables sont exposés.
Les vecteurs d'attaque non authentifiés présentent généralement un risque plus élevé, car ils peuvent être exploités à distance et à grande échelle.
Si j'effectue une mise à niveau, suis-je entièrement protégé ?
La mise à niveau vers les versions corrigées résout les vulnérabilités connues. Cependant, la sécurité dépend également de la configuration.
Les équipes devraient combiner les mises à niveau avec une exposition réduite, des formulaires authentifiés et un examen attentif des nœuds de workflow à haut risque.
Pourquoi les plateformes d'automatisation sont-elles ciblées plus souvent ?
Les plateformes d'automatisation connectent de nombreux systèmes et détiennent des identifiants privilégiés. Compromettre une plateforme peut donner accès à plusieurs systèmes en aval, ce qui en fait des cibles attrayantes pour les attaquants.
Comment Aikido aide-t-il à résoudre ce type de problèmes ?
Aikido aide les équipes à :
- Détecter les plateformes d'automatisation vulnérables dans des environnements réels
- Identifier les formulaires exposés, les Webhooks et les points d'entrée de workflow à risque.
- Prioriser les problèmes en fonction de chemins d'exploitation réels, et non uniquement de la sévérité du CVE.
- Agir rapidement grâce à des conseils de remédiation clairs
Conclusion
Cette vulnérabilité met en lumière une réalité plus large. Les plateformes d'automatisation sont devenues des infrastructures critiques.
Les sécuriser nécessite un patching opportun, une exposition réduite et une visibilité sur la manière dont les vulnérabilités peuvent réellement être exploitées dans des environnements réels.
Annexe
- CVE : CVE-2026-21858
- Versions affectées : Versions antérieures à 1.121.0, et dans certains cas antérieures à 1.121.3
- Type d'attaque : Exécution de code à distance non authentifiée
- Composants : Webhook de formulaire, Gestion des fichiers, Gestion de session
Références
- Cyera Research Labs : Exécution de code à distance non authentifiée dans n8n
- Avis de sécurité GitHub
- Aikido Intel
<script type="application/ld+json">
{
"@context": "https://schema.org",
"@graph": [
{
"@type": "Organization",
"@id": "https://www.aikido.dev/#organization",
"name": "Aikido Security",
"url": "https://www.aikido.dev/"
"logo": {
"@type": "ImageObject",
"@id": "https://www.aikido.dev/#logo"
"url": "https://cdn.prod.website-files.com/642adcaf364024552e71df01/642adcaf364024443a71df7a_logo-full-dark.svg"
},
"sameAs": [
"https://www.linkedin.com/company/aikido-security/",
"https://x.com/aikidosecurity",
"https://www.youtube.com/@aikidosecurity"
]
},
{
"@type": "WebSite",
"@id": "https://www.aikido.dev/#website",
"url": "https://www.aikido.dev/"
"name": "Aikido",
"publisher": {
"@id": "https://www.aikido.dev/#organization"
},
"inLanguage": "fr"
},
{
"@type": "WebPage",
"@id": "https://www.aikido.dev/blog/n8n-rce-vulnerability-cve-2026-21858#webpage",
"url": "https://www.aikido.dev/blog/n8n-rce-vulnerability-cve-2026-21858",
"name": "n8n Vulnérabilité Critique (CVE-2026-21858) | Explication d'une RCE Non Authentifiée",
"isPartOf": {
"@id": "https://www.aikido.dev/#website"
},
"inLanguage": "fr",
"breadcrumb": {
"@id": "https://www.aikido.dev/blog/n8n-rce-vulnerability-cve-2026-21858#breadcrumb"
}
},
{
"@type": "BreadcrumbList",
"@id": "https://www.aikido.dev/blog/n8n-rce-vulnerability-cve-2026-21858#breadcrumb",
"itemListElement": [
{
"@type": "ListItem",
"position": 1,
"name": "Accueil",
"item": "https://www.aikido.dev/"
},
{
"@type": "ListItem",
"position": 2,
"name": "Blog"
"item": "https://www.aikido.dev/blog"
},
{
"@type": "ListItem",
"position": 3,
"name": "Vulnérabilités et menaces",
"item": "https://www.aikido.dev/blog"
},
{
"@type": "ListItem",
"position": 4,
"name": "Vulnérabilité critique de n8n permettant l'exécution de code à distance non authentifiée (CVE-2026-21858)",
"item": "https://www.aikido.dev/blog/n8n-rce-vulnerability-cve-2026-21858"
}
]
},
{
"@type": "Person",
"@id": "https://www.aikido.dev/team-members/sooraj-shah#person",
"name": "Sooraj Shah",
"url": "https://www.aikido.dev/team-members/sooraj-shah",
"jobTitle": "Responsable Marketing de Contenu",
"worksFor": {
"@id": "https://www.aikido.dev/#organization"
},
"sameAs": [
"https://www.linkedin.com/in/soorajshah/"
],
"image": {
"@type": "ImageObject",
"url": "https://cdn.prod.website-files.com/642adcaf364024654c71df23/685041c2836d827b7f40d3ef_Sooraj-Shah.jpg"
}
},
{
"@type": "BlogPosting",
"@id": "https://www.aikido.dev/blog/n8n-rce-vulnerability-cve-2026-21858#blogposting",
"mainEntityOfPage": {
"@id": "https://www.aikido.dev/blog/n8n-rce-vulnerability-cve-2026-21858#webpage"
},
"headline": "Une vulnérabilité critique de n8n permet l'exécution de code à distance non authentifiée (CVE-2026-21858)",
"description": "Une vulnérabilité critique dans n8n (CVE-2026-21858) permet l'exécution de code à distance non authentifiée sur les instances auto-hébergées. Découvrez qui est affecté et comment y remédier.",
"datePublished": "2026-01-08",
"dateModified": "2026-01-08"
"author": {
"@id": "https://www.aikido.dev/team-members/sooraj-shah#person"
},
"publisher": {
"@id": "https://www.aikido.dev/#organization"
},
"image": {
"@type": "ImageObject",
"@id": "https://www.aikido.dev/blog/n8n-rce-vulnerability-cve-2026-21858#primaryimage",
"url": "https://cdn.prod.website-files.com/642adcaf364024552e71df01/68d1233973be6f8e808d9e65_Frame%2017.svg"
},
"articleSection": "Vulnérabilités et Menaces",
"inLanguage": "fr",
"keywords": [
"n8n",
"CVE-2026-21858",
"RCE",
"exécution de code à distance"
"vulnérabilité",
"RCE non authentifiée",
"sécurité de l'automatisation des workflows"
]
},
{
"@type": "FAQPage",
"@id": "https://www.aikido.dev/blog/n8n-rce-vulnerability-cve-2026-21858#faq",
"mainEntity": [
{
"@type": "Question",
"name": "S'agit-il du même problème que d'autres CVE n8n récentes ?",
"acceptedAnswer": {
"@type": "Answer"
"text": "Non. CVE-2026-21858 est une vulnérabilité d'exécution de code à distance non authentifiée liée à une mauvaise gestion des requêtes de webhook et de formulaire. D'autres avis récents de n8n décrivent des problèmes différents, y compris des vulnérabilités authentifiées impliquant un accès arbitraire aux fichiers ou des écritures de fichiers. Bien que techniquement distincts, ils exposent des risques similaires lorsque les points d'entrée des workflows sont largement accessibles."
}
},
{
"@type": "Question",
"name": "Cela affecte-t-il n8n Cloud ou uniquement les déploiements auto-hébergés ?",
"acceptedAnswer": {
"@type": "Answer"
"text": "Ce problème affecte principalement les instances n8n auto-hébergées. Les chemins d'attaque les plus graves reposent sur l'accès aux fichiers locaux et aux secrets au niveau de l'instance, qui ne sont pas exposés de la même manière dans les environnements gérés."
}
},
{
"@type": "Question",
"name": "L'exploitation nécessite-t-elle une authentification ?"
"acceptedAnswer": {
"@type": "Answer"
"text": "Non. Pour CVE-2026-21858, l'authentification n'est pas requise si des points d'accès vulnérables sont exposés. Les chemins d'attaque non authentifiés présentent généralement un risque plus élevé car ils peuvent être exploités à distance et à grande échelle."
}
},
{
"@type": "Question",
"name": "Si je mets à niveau, suis-je entièrement protégé ?",
"acceptedAnswer": {
"@type": "Answer"
"text": "La mise à niveau vers les versions patchées résout les vulnérabilités connues. Cependant, la sécurité dépend également de la configuration. Les équipes doivent combiner les mises à niveau avec une exposition réduite, des Forms authentifiés et un examen attentif des nœuds de workflow à haut risque."
}
},
{
"@type": "Question",
"name": "Pourquoi les plateformes d'automatisation sont-elles ciblées plus souvent ?",
"acceptedAnswer": {
"@type": "Answer"
"text": "Les plateformes d'automatisation connectent de nombreux systèmes et détiennent des identifiants privilégiés. Compromettre une plateforme peut donner accès à plusieurs systèmes en aval, ce qui en fait des cibles attrayantes pour les attaquants."
}
},
{
"@type": "Question",
"name": "Comment Aikido aide-t-il avec des problèmes comme ceux-ci ?",
"acceptedAnswer": {
"@type": "Answer"
"text": "Aikido aide les équipes à détecter les plateformes d'automatisation vulnérables dans des environnements réels, à identifier les Forms exposés, les Webhooks et les points d'entrée de workflow à risque, à prioriser les problèmes en fonction des chemins d'exploitation réels (et non seulement de la sévérité des CVE), et à agir rapidement avec des conseils de remédiation clairs."
}
}
]
}
]
}
</script>
