研究人员最新发现，一项被命名为 Ni8mare 的最高严重级漏洞，允许远程未授权攻击者完全接管本地部署的 N8N 工作流自动化平台。

该安全漏洞编号为 CVE-2026-21858，CVSS 评分高达 10 分。据研究人员称，目前互联网上存在超过 10 万台易受攻击的 N8N 服务器。

N8N 是一款开源工作流自动化工具，用户可通过可视化编辑器将各类应用、API 及服务连接成复杂的工作流。它主要用于任务自动化，并支持与人工智能及大语言模型服务的集成。

该工具在 npm 上的周下载量超过 5 万次，在 Docker Hub 上的拉取量更是突破 1 亿次。作为 AI 领域的热门工具，它常被用于编排 LLM 调用、构建 AI 智能体（Agent）和检索增强生成（RAG）流水线，以及自动化数据摄入与检索。

Ni8mare 漏洞技术细节

Ni8mare 漏洞允许攻击者通过执行特定的基于表单的工作流，访问底层服务器上的文件。 

N8N 开发者表示：" 存在漏洞的工作流可能会授予未授权远程攻击者访问权限。这可能导致存储在系统上的敏感信息泄露，并且根据部署配置和工作流的使用情况，可能会导致进一步的入侵。"

研究人员于 2025 年 11 月发现了该漏洞并向 N8N 官方报告。他们指出，该漏洞源于 N8N 在解析数据时存在的 内容类型混淆问题。 

N8N 使用两个不同的函数来处理传入数据，具体取决于 Webhook 中配置的 content-type 头部信息—— Webhook 是通过监听特定消息来触发工作流事件的组件。

当 Webhook 请求被标记为 multipart/form-data 时，N8N 会将其视为文件上传，并使用特殊的上传解析器，将文件保存在随机生成的临时位置。

这意味着用户无法控制文件的最终存放路径，从而防范了路径遍历攻击。然而，对于所有其他内容类型，N8N 则使用标准解析器。

攻击者可以通过设置不同的内容类型（例如 application/json）来绕过上传解析器。在这种情况下，N8N 仍会处理与文件相关的字段，但不会验证请求中是否真的包含有效的文件上传。这使得攻击者能够完全控制文件元数据，包括文件路径。

存在缺陷的解析器逻辑

研究员解释：由于调用该函数时未验证内容类型是否为 multipart/form-data，所以可以控制整个 req.body.files 对象。这意味着我们控制了 filepath` 参数——因此，无需复制上传的文件，而是可以复制系统中的任何本地文件。

这使得攻击者能够从 N8N 实例中读取任意文件，通过将内部文件添加到工作流的知识库中，从而泄露敏感信息。

这一漏洞可被滥用于泄露存储在实例中的密钥、将敏感文件注入工作流、伪造会话 Cookie 以绕过身份验证，甚至执行任意命令。

触发 Ni8mare ( CVE-2026-21858 ) 访问数据库

N8N 通常存储着 API 密钥、OAuth 令牌、数据库凭证、云存储访问权限、CI/CD 密钥及业务数据，使其成为企业的核心自动化枢纽。

N8N 开发者表示，目前针对 Ni8mare 漏洞尚无官方临时缓解措施，但建议限制或禁用可公开访问的 Webhook 和表单端点。且强烈建议用户立即更新至 N8N 1.121.0 版本或更高版本。