# CVE-2026-21858 - n8n Workflow Automation RCE CVSS 10.0 "Ni8mare" > [!critical] CVSS 10.0 - RCE não autenticada no n8n, plataforma open-source de automação de workflows. Apelidada "Ni8mare", permite controle total de instâncias expostas e acesso a todas as credenciais integradas. Patch disponível na versão 1.26.0 desde janeiro de 2026. ## Visão Geral O **CVE-2026-21858**, apelidado "Ni8mare", é uma vulnerabilidade de severidade máxima (CVSS 10.0) na plataforma [[_n8n|n8n]], solução open-source de automação de workflows amplamente adotada em ambientes DevOps, integração de sistemas e automação de processos empresariais. A falha permite que atacantes não autenticados executem código arbitrário remotamente em instâncias n8n expostas à internet, sem qualquer requisito de credenciais. A versão corrigida 1.26.0 foi lançada em 15 de janeiro de 2026. O n8n funciona como um hub central de integração de APIs — conecta bancos de dados, serviços SaaS, sistemas internos e APIs externas. Uma instância comprometida expõe todas as credenciais configuradas nos workflows (chaves de API, tokens OAuth, senhas de banco de dados), além de permitir execução arbitrária de código no servidor host. O impacto é amplificado em ambientes de produção onde o n8n orquestra processos críticos de negócio. Organizações que utilizam n8n em versões anteriores a 1.26.0 devem atualizar imediatamente e auditar logs de acesso por sinais de exploração anterior. ## Impacto Técnico - **RCE sem autenticação:** execução de código arbitrário no servidor n8n sem credenciais - **Exposição de credenciais:** acesso a todas as chaves de API, tokens e senhas armazenadas nos workflows - **Comprometimento em cadeia:** pivotamento para todos os sistemas integrados ao n8n - **Persistência:** implantação de backdoors nos workflows ou no servidor host **Produtos afetados:** n8n versões anteriores a 1.26.0. Patch: atualizar para 1.26.0 ou superior via `npm update n8n` ou Docker pull da imagem atualizada. > [!latam] O n8n é popular entre startups e times de desenvolvimento no Brasil para automação de processos e integração de APIs. Instâncias self-hosted expostas públicamente sem autenticação adicional são comuns em ambientes de desenvolvimento e representam risco crítico. Organizações brasileiras dos setores de **tecnologia** e **financeiro** que utilizam n8n em produção devem auditar suas instâncias com urgência. ## Técnicas e Mitigações **TTPs relacionadas:** - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - [[t1059-command-scripting-interpreter|T1059 - Command Scripting Interpreter]] - [[t1552-unsecured-credentials|T1552 - Unsecured Credentials]] - [[t1505-003-web-shell|T1505.003 - Web Shell]] **Mitigações:** - [[m1051-update-software|M1051 - Update Software]] - Atualizar n8n para versão 1.26.0 ou superior - [[m1035-limit-access-to-resource-over-network|M1035 - Limit Access to Resource Over Network]] - Restringir acesso à instância n8n por IP ou VPN - [[m1032-multi-factor-authentication|M1032 - Multi-Factor Authentication]] - Habilitar autenticação na interface do n8n - [[m1022-restrict-file-and-directory-permissions|M1022 - Restrict File and Directory Permissions]] - Limitar permissões do processo n8n no servidor **Setores em risco:** [[technology]] · [[financial]] ## Referências - [The Hacker News - CVE-2026-21858](https://thehackernews.com/2026/01/critical-n8n-vulnerability-cvss-100.html) - [NVD](https://nvd.nist.gov/vuln/detail/CVE-2026-21858)