Критический недостаток в n8n позволяет нападавшим забрать самоуправляемые системы дистанционно; обновлять версию 1.121.0 или позже. A critical flaw in n8n lets attackers take over self-hosted systems remotely; update to version 1.121.0 or later.

Критическая уязвимость CVE-2026-21858, названная "Ni8mare", на платформе для автоматизации n8n позволяет неподтверждённому дистанционному кодированию с показателем CVSS в 10,0. A critical vulnerability, CVE-2026-21858, dubbed "Ni8mare," in the n8n automation platform allows unauthenticated remote code execution with a CVSS score of 10.0. Обнаруженный Cyera, он проистекает из ошибки в содержании и типе путаницы, которая позволяет нападающим манипулировать заголовками HTTP и получить полный доступ к системе в случае самоустановок. Discovered by Cyera, it stems from a Content-Type confusion flaw enabling attackers to manipulate HTTP headers and gain full system access on self-hosted instances. Этот недостаток сказывается на широко используемых самоинструктивных установках, при этом свыше 100 млн. докеров и тысячи организаций полагаются на n8n для интеграции. The flaw affects widely used self-hosted deployments, with over 100 million Docker pulls and thousands of organizations relying on n8n for integrations. Не существует обходных решений, и пользователи должны обновиться до версии 1.121.0 или более поздней. No workaround exists, and users must upgrade to version 1.121.0 or later. Команда N8n занялась этим вопросом в течение девяти дней после получения уведомления 9 ноября 2025 года. The n8n team patched the issue within nine days of being notified on November 9, 2025.