Uma falha crítica na n8n permite que os atacantes assumam remotamente os sistemas auto-hospedados; atualize para a versão 1.121.0 ou posterior. A critical flaw in n8n lets attackers take over self-hosted systems remotely; update to version 1.121.0 or later.

Uma vulnerabilidade crítica, CVE-2026-21858, apelidado de "Ni8mare", na plataforma de automação n8n permite a execução remota de código não autenticada com uma pontuação CVSS de 10,0. A critical vulnerability, CVE-2026-21858, dubbed "Ni8mare," in the n8n automation platform allows unauthenticated remote code execution with a CVSS score of 10.0. Descoberto pela Cyera, ele decorre de uma falha de confusão de tipo de conteúdo que permite aos invasores manipular cabeçalhos HTTP e obter acesso total ao sistema em instâncias auto-hospedadas. Discovered by Cyera, it stems from a Content-Type confusion flaw enabling attackers to manipulate HTTP headers and gain full system access on self-hosted instances. A falha afeta implantações auto-hospedadas amplamente utilizadas, com mais de 100 milhões de puxados Docker e milhares de organizações que dependem do n8n para integrações. The flaw affects widely used self-hosted deployments, with over 100 million Docker pulls and thousands of organizations relying on n8n for integrations. Não existe nenhuma solução alternativa, e os usuários devem atualizar para a versão 1.121.0 ou posterior. No workaround exists, and users must upgrade to version 1.121.0 or later. A equipe n8n corrigido o problema dentro de nove dias de ser notificado em 9 de novembro de 2025. The n8n team patched the issue within nine days of being notified on November 9, 2025.