最高严重级别的 Ni8mare 漏洞可让黑客劫持 n8n 服务器

作者：Bill Toulas

一个被称为“Ni8mare”的最高严重级别漏洞，允许远程、未经过身份验证的攻击者接管本地部署的 n8n 工作流自动化平台实例。

该安全问题被标识为 CVE-2026-21858，严重性评分为满分 10 分。根据数据安全公司 Cyera 的研究人员称，当前存在超过 100,000 台易受攻击的 n8n 服务器。

n8n 是一款开源的工作流自动化工具，允许用户通过可视化编辑器将应用程序、API 和服务连接成复杂的工作流。它主要用于自动化任务，并支持与 AI 和大语言模型（LLM）服务的集成。

它在 npm 上每周下载量超过 50,000 次，在 Docker Hub 上的拉取次数超过 1 亿次。它是 AI 领域的一款热门工具，用于编排 LLM 调用、构建 AI 代理和 RAG 管道 ，以及 自动化数据摄取 和检索。

Ni8mare 详情

Ni8mare 漏洞通过执行某些基于表单的工作流，使攻击者能够访问底层服务器上的文件。

n8n 开发者表示 ：“一个存在漏洞的工作流可能会向未认证的远程攻击者授予访问权限。这可能导致系统中存储的敏感信息被泄露，并且根据部署配置和工作流的使用方式，可能进一步造成系统被攻破。”

Cyera 研究人员发现了 Ni8mare 漏洞（CVE-2026-21858），并于 2025 年 11 月 9 日将其报告给 n8n。他们表示，该安全问题源于 n8n 在解析数据时存在的 content-type 混淆。

n8n 根据 webhook 中配置的 “content-type” 请求头，使用两个函数来处理传入数据。webhook 是工作流中通过监听特定消息来触发事件的组件。

当 webhook 请求被标记为 multipart/form-data 时，n8n 会将其视为文件上传，并使用一种特殊的上传解析器，将文件保存到随机生成的临时位置。

“这意味着用户无法控制文件最终存放的位置，从而可以防御路径遍历攻击。”

然而，对于所有其他内容类型，n8n 会改用其标准解析器。

Cyera 发现 ，通过设置不同的内容类型（例如 application/json），攻击者可以绕过上传解析器。

在这种情况下，n8n 仍然会处理与文件相关的字段，但不会验证该请求是否实际包含有效的文件上传。这使攻击者能够完全控制文件元数据，包括文件路径。

Cyera 解释称：“由于该函数在调用时未验证内容类型是否为 multipart/form-data，我们可以完全控制整个 req.body.files 对象。这意味着我们可以控制 filepath 参数——因此不再是复制已上传的文件，而是可以复制系统中的任意本地文件。”

这使得攻击者能够从 n8n 实例中读取任意文件，并通过将内部文件添加到工作流的知识库中来暴露敏感信息。

Cyera 表示，这一漏洞可被滥用来泄露实例上存储的秘密信息、将敏感文件注入工作流、伪造会话 cookie 以绕过认证，甚至执行任意命令。

Cyera 强调，n8n 通常会存储 API 密钥、OAuth 令牌、数据库凭据、云存储访问权限、CI/CD 机密以及业务数据，使其成为一个集中的自动化枢纽。