Ni8mare, N8scape и другие критические уязвимости n8n. n8n - это платформа автоматизации рабочих процессов (code/no-code). Поддерживает более 400 интеграций и встроенные возможности ИИ. Лицензируется как fair-code. Доступна on-prem и как облачный сервис.
🔻 18 ноября 2025 года был выпущен патч, закрывающий критическую уязвимость чтения файлов без аутентификации (CVE-2026-21858). В некоторых сценариях уязвимость позволяет добиться удалённого выполнения кода (RCE). Уязвимость назвали Ni8mare. С 7 января 2026 года доступен write-up и PoC. Также доступен эксплойт, задействующий уязвимость CVE-2025-68613 для достижения RCE.
🔻 Совместно с основной уязвимостью CVE-2026-21858 могут использоваться и другие уязвимости, требующие аутентификации: CVE-2025-68668 (N8scape), CVE-2025-68697 и CVE-2026-21877. Это позволяет добиться RCE или записи файлов.
🌐 CyberOK СКИПА фиксирует чуть менее 9 000 активных n8n в Рунете.
Привет! Меня зовут Александр. Я специалист по Управлению Уязвимостями. Подробнее обо мне можно прочитать здесь. Приглашаю подписаться на мой канал в Telegram @avleonovrus. Я обновляю его чаще, чем этот сайт. Вы можете обсудить мои посты или задать вопросы в @avleonovchat или в группе ВКонтакте.
And I invite all English-speaking people to another telegram channel @avleonovcom.