Ni8mare-sårbarhed truer næsten 60.000 n8n-instanser

Eskil Sørensen

01.13.2026 09:39

Rammer en platform, der ofte fungerer som nerven i automatiserings- og AI-infrastrukturer

En kritisk sårbarhed med maksimal CVSS-score på 10,0, har efterladt titusindvis af n8n-instanser eksponerede og sårbare over for fjernangreb.

Det skriver Bleeping Computer.

Sårbarheden har id’et EUVD-2026-1187 / CVE-2026-21858. EPSS-scoren er pt. på 2,7. Meget passende har sårbarheden fået navnet “Ni8mare” og den findes som sagt i n8n - en populær open source-automatiseringsplatform, der bruges til at forbinde applikationer og tjenester via en node-baseret grænseflade – ofte i AI-udvikling til data ingestion, RAG-pipelines og agent-automatisering.

Med over 100 millioner Docker Hub-pulls og 50.000 ugentlige npm-downloads er n8n blevet en central komponent i mange organisationers automatiseringsinfrastruktur. Netop derfor er konsekvenserne af Ni8mare alvorlige, skriver Bleeping Computer: platformen lagrer typisk API-nøgler, OAuth-tokens, databaseoplysninger, cloud-adgang og CI/CD-hemmeligheder – alt sammen attraktive mål for trusselsaktører.

Ni8mare – årets første mareridt

Sårbarheden skyldes mangelfuld inputvalidering, som gør det muligt for en uautentificeret fjernangriber at kompromittere en lokalt hostet n8n-instans, hvis de kan udnytte filadgang på den underliggende server. Ifølge n8n-teamet er instanser sårbare, hvis de har aktive workflows med:

Form Submission-trigger, der accepterer en fil
Form Ending-node, der returnerer en binær fil

Cyera, som opdagede sårbarheden, beskriver den som en content-type confusion, der kan misbruges til:

Eksponering af hemmeligheder gemt på instansen
Forfalskning af sessionscookies for at omgå autentifikation
Indsprøjtning af følsomme filer i workflows
Potentiel eksekvering af vilkårlige kommandoer

Shadowserver fandt i weekenden 105.753 ubeskyttede instanser online, hvoraf 59.558 stadig var eksponerede søndag. Over 28.000 IP’er i USA og 21.000 i Europa er berørt – et klart tegn på global udbredelse og høj risiko.

Ingen officiel workaround – kun én løsning

Der findes ingen officiel midlertidig løsning, og n8n-teamet anbefaler en hurtig opgradering til version 1.121.0 eller nyere. Hvis opgradering ikke er mulig med det samme, kan risikoen reduceres ved at:

Begrænse eller deaktivere offentligt tilgængelige webhook- og form-endpoints
Bruge n8n’s workflow-skabelon til scanning af sårbare workflows

Derudover anbefales at overvåge logs for mistænkelig aktivitet og scan workflows for sårbare konfigurationer.

Ni8mare rammer en platform, der ofte fungerer som nerven i automatiserings- og AI-infrastrukturer. Et kompromitteret n8n-miljø kan give angribere adgang til hele organisationens API’er, cloud-ressourcer og CI/CD-pipelines. Med næsten 60.000 eksponerede instanser er angrebsfladen enorm.

Læs mere

https://www.bleepingcomputer.com/news/security/max-severity-ni8mare-flaw-impacts-nearly-60-000-n8n-instances/

Sårbarhed