Son nom n’est pas présomptueux, la nouvelle vulnérabilité « Ni8mar e» qui touche n8n est notée 10/10 sur l’échelle CVSS, la note maximale en matière de gravité.

Référencée sous le code CVE-2026-21858, elle touche les instances n8n auto‑hébergées, et les chercheurs estiment qu’environ 100 000 serveurs pourraient être concernés dans le monde.

Déjà touchée par une faille critique fin 2025, la plateforme d’automatisation de workflows appelle ses utilisateurs à la plus grande prudence. Ici, la vulnérabilité tourne autour d’une idée simple : n8n se fait « piéger » sur le type de données qu’il reçoit et finit par ouvrir des fichiers du serveur alors qu’il croit traiter un simple formulaire.

Une question d’étiquette

Dans un fonctionnement normal, quand vous envoyez un formulaire avec un fichier (CV, capture d’écran, etc.), le navigateur indique clairement à n8n qu’il s’agit d’un fichier fourni par un utilisateur. n8n le récupère, le stocke dans un espace temporaire prévu à cet effet, puis le transmet au workflow comme un simple document métier, sans toucher aux fichiers internes du serveur.

Avec Ni8mare, l’attaquant rejoue exactement ce scénario, mais en trichant sur l’emballage technique de la requête. Au lieu d’envoyer un formulaire classique, il modifie son « étiquette » qui décrit le type de données (le Content-Type) et la structure du message, de façon à embrouiller n8n.

La vulnérabilité CVE‑2025‑68613, révélée en décembre 2025, permet à un utilisateur d’exécuter du code arbitraire sur le serveur. // Source : Numerama

Le serveur se met alors à faire confiance à ce que dit la requête et considère comme « fichier du formulaire » n’importe quel chemin de fichier présent sur le disque.

Concrètement, dans les cas les plus extrêmes, au lieu de lire le CV envoyé par un candidat, n8n peut se retrouver à ouvrir un fichier système ou ses propres fichiers internes.

Deux cibles sont particulièrement sensibles : la base de données locale, qui contient les comptes utilisateurs et leurs informations, et le fichier de configuration, qui stocke notamment les éléments qui permettent de signer les sessions. Avec ces deux éléments, l’attaquant peut reconstituer chez lui un cookie de session n8n-auth identique à celui d’un administrateur, le charger dans son navigateur et accéder à l’interface comme s’il faisait partie de l’équipe.

À partir de là, tout devient beaucoup plus simple pour l’assaillant : vu comme un administrateur légitime, il peut créer un nouveau workflow et demander à n8n d’exécuter des commandes sur la machine. Pour le serveur, tout semble normal, puisqu’il voit une action initiée par un compte de confiance.

Comment s’en protéger ?

n8n appelle ses utilisateurs à vérifier la version utilisée et la faire passer au minimum en 1.121.0. C’est cette mise à jour qui corrige la manière dont n8n gère les formulaires.

Les chercheurs de Cyera appellent également les utilisateurs à réduire autant que possible l’exposition de la plateforme et à traiter n8n comme un élément critique de leur infrastructure, et non comme un simple outil utilitaire, comme c’est malheureusement souvent le cas pour ces solutions d’automatisation.​

« n8n connecte d’innombrables systèmes : votre Google Drive d’entreprise, les clés API OpenAI, les données Salesforce, les systèmes IAM, les processeurs de paiement, les bases de données clients, les pipelines CI/CD, et bien plus encore. C’est le système nerveux central de votre infrastructure d’automatisation », rappelle l’auteur de la recherche.

D’ici là, deux conseils simples permettent déjà de limiter fortement les risques : ne pas exposer n8n à Internet, sauf nécessité absolue, et exiger une authentification pour tous les formulaires créés.​