Ко8мар в n8n: 𝗖𝗩𝗘-𝟮𝟬𝟮𝟲-𝟮𝟭𝟴𝟱𝟴
🚀 Всем DevOps! Сегодня речь пойдёт о безопасности. Cyera Research Labs опубликовала отчет о CVE-2026–21858, коротко «Ni8mare», уязвимости CVSS 10.0. Пользователь Марио Кандела задеплоил кастомную ловушку в Beelzebub, чтобы отследить попытки взлома в n8n. Ниже – разбираем spray-атаку на n8n и даём рекомендации по её устранению. Полностью статью читайте – тут.
👀 В чём суть проблемы?
Некорректная обработка HTTP-запросов в n8n Form Webhook.
Обычный флоу: пользователь загружает файл через форму, у запроса тип
Флоу с уязвимостью: если злоумышленник меняет Content-Type на
Полная цепочка эксплуатации от Cyera здесь.
Журнал атаки:
⚫️ 7 января 2026: отчёт
Cyera Research Labs опубликовала подробный отчёт о Ni8mare уязвимости, которая позволяет выполнять неавторизованный удаленный код на локально развернутых экземплярах n8n.
⚫️ 9 января 2026, 06:58:32 UTC Начало конца
⏺ Фаза 1: разведка
Злоумышленник запрашивает
⏺ Фаза 2: spray-атака (06:58:33–06:58:35 UTC)
В течение нескольких секунд была запущена spray-атака на несколько endpoint-ов с идентичными вредоносными нагрузками
⏺ Анализируем payload
Точное совпадение с CVE-2026–21858. За 3 секунды 17 endpoint-ов подверглись атаке.
Ni8mare не даёт спать: уязвимость не требует аутентификации, легко воспроизводима и может привести к последующей полной компрометацией инстанса n8n. Censys оценивает 100.000 инстансов в сети как потенциально уязвимые. Есть ли среди них ваш?
⏺ Что делать уже сейчас?
1. Немедленно обновитесь до версии 1.121.0 или более поздней
2. Закройте публичный доступ к n8n
3. Запрашивайте аутентификацию ко всем Form-ам и Webhook-ам
4. Отслеживайте логи на наличие Индикаторов Компроментации (IoCs): сетевые, HTTP-паттерны запроса, Sigma-правила
👩💻 Подборка полезного:
•CVE-2026–21858 — GitHub Advisory
•Конфигурация Beelzebub n8n honeypot
#devsecops #cybersecurity #vulnerability #cve
Некорректная обработка HTTP-запросов в n8n Form Webhook.
Обычный флоу: пользователь загружает файл через форму, у запроса тип
Content-Type: multipart/form-data . n8n использует Formidable для безопасного анализа загрузки, хранит файлы в случайной временной директории.Флоу с уязвимостью: если злоумышленник меняет Content-Type на
application/json, n8n использует другой парсер (`parseBody()`), который напрямую заполняет req.body.files значениями, и пользователь может взять над ними контроль. Полная цепочка эксплуатации от Cyera здесь.
Журнал атаки:
Cyera Research Labs опубликовала подробный отчёт о Ni8mare уязвимости, которая позволяет выполнять неавторизованный удаленный код на локально развернутых экземплярах n8n.
User-Agent: python-requests/2.32.5
Злоумышленник запрашивает
/rest/settings для определения n8n-версии. Пользовательская ловушка предоставляет информацию – 1.120.0 (уязвимая)В течение нескольких секунд была запущена spray-атака на несколько endpoint-ов с идентичными вредоносными нагрузками
Content-Type: application/json
User-Agent: python-requests/2.32.5
{
"data": {},
"files": {
"f-t8ebu1": {
"filepath": "/etc/passwd",
"originalFilename": "z0nojfcn.bin",
"mimetype": "application/octet-stream",
"size": 43492
}
}
}
Точное совпадение с CVE-2026–21858. За 3 секунды 17 endpoint-ов подверглись атаке.
Ni8mare не даёт спать: уязвимость не требует аутентификации, легко воспроизводима и может привести к последующей полной компрометацией инстанса n8n. Censys оценивает 100.000 инстансов в сети как потенциально уязвимые. Есть ли среди них ваш?
1. Немедленно обновитесь до версии 1.121.0 или более поздней
2. Закройте публичный доступ к n8n
3. Запрашивайте аутентификацию ко всем Form-ам и Webhook-ам
4. Отслеживайте логи на наличие Индикаторов Компроментации (IoCs): сетевые, HTTP-паттерны запроса, Sigma-правила
•CVE-2026–21858 — GitHub Advisory
•Конфигурация Beelzebub n8n honeypot
#devsecops #cybersecurity #vulnerability #cve
Please open Telegram to view this post
VIEW IN TELEGRAM
1👍7🔥4