Un défaut critique dans n8n permet aux attaquants de prendre en charge les systèmes auto-portés à distance; mise à jour vers la version 1.121.0 ou ultérieure. A critical flaw in n8n lets attackers take over self-hosted systems remotely; update to version 1.121.0 or later.

Une vulnérabilité critique, CVE-2026-21858, baptisée « Ni8mare », dans la plate-forme d'automatisation n8n permet une exécution de code à distance non authentifiée avec un score CVSS de 10,0. A critical vulnerability, CVE-2026-21858, dubbed "Ni8mare," in the n8n automation platform allows unauthenticated remote code execution with a CVSS score of 10.0. Découvert par Cyera, il provient d'un défaut de confusion de type Content permettant aux attaquants de manipuler des en-têtes HTTP et d'obtenir un accès complet au système sur des instances auto-accueillées. Discovered by Cyera, it stems from a Content-Type confusion flaw enabling attackers to manipulate HTTP headers and gain full system access on self-hosted instances. Ce défaut affecte les déploiements auto-organisés largement utilisés, avec plus de 100 millions de tirs Docker et des milliers d'organisations qui comptent sur n8n pour les intégrations. The flaw affects widely used self-hosted deployments, with over 100 million Docker pulls and thousands of organizations relying on n8n for integrations. Il n'existe pas de solution de rechange et les utilisateurs doivent passer à la version 1.121.0 ou ultérieure. No workaround exists, and users must upgrade to version 1.121.0 or later. L'équipe n8n a corrigé la question dans les neuf jours suivant sa notification le 9 novembre 2025. The n8n team patched the issue within nine days of being notified on November 9, 2025.