CVE-2026-21858

Nome do Software Vulnerável e Versões Afetadas n8n versões 1.65.0 a 1.121.0

Description Um problema no mecanismo de validação de entrada da plataforma de automação de fluxo de trabalho n8n permite que invasores remotos não autenticados assumam o controle total de instâncias, afetando aproximadamente 100.000 servidores globalmente. A falha decorre de um erro de incompatibilidade de Content-Type na forma como a plataforma processa solicitações de webhook baseadas em formulários. Especificamente, o middleware determina o analisador com base no cabeçalho Content-Type, mas o Form Webhook Node não valida esse cabeçalho antes de processar os arquivos. Ao alterar o Content-Type de multipart/form-data para application/json e enviar um payload manipulado, um invasor pode sobrescrever o objeto req.body.files e manipular o caminho do arquivo processado pelo sistema.

Isso permite a leitura arbitrária de arquivos, incluindo o banco de dados SQLite local (/home/node/.n8n/database.sqlite) e o arquivo de configuração contendo o segredo de criptografia. Com esses arquivos, um invasor pode forjar um cookie de sessão de administrador para se autenticar sem credenciais e, posteriormente, usar o nó Execute Command para realizar a execução remota de código no servidor. Campanhas de varredura no mundo real foram observadas usando um agente de usuário especializado n8n-scanner/1.0 para identificar endpoints vulneráveis via enumeração de caminhos baseada em dicionário.

Recommendations Atualize para a versão 1.121.0 ou posterior. Restrinja ou desative endpoints de formulários e webhooks acessíveis publicamente como mitigação temporária. Evite expor a plataforma diretamente à internet sem uma VPN ou autenticação adicional. Exija autenticação em todos os formulários públicos. Rotacione todas as credenciais e chaves de API armazenadas se houver suspeita de comprometimento anterior.