Ni8mare. Gdy automatyzacja staje się wektorem przejęcia infrastruktury

Platformy klasy workflow automation, takie jak n8n, coraz częściej pełnią rolę centralnego węzła integrującego systemy biznesowe, narzędzia DevOps, API chmurowe oraz usługi przetwarzające dane wrażliwe. To właśnie ta centralizacja odpowiedzialności sprawia, że kompromitacja jednego komponentu automatyzacji przestaje być incydentem lokalnym, a zaczyna stanowić poważne zagrożenie systemowe. Raport Baysec opisuje skalę tego problemu.

Czym jest n8n?

N8n jest dziś jednym z najczęściej wdrażanych silników automatyzacji typu self hosted, wykorzystywanym do integracji systemów wewnętrznych z usługami zewnętrznymi. W praktyce oznacza to, że pojedyncza instancja n8n bardzo często posiada dostęp do szerokiego zakresu zasobów - od API systemów biznesowych, przez dane uwierzytelniające do usług chmurowych, aż po możliwość wykonywania kodu w ramach zdefiniowanych workflow. Z perspektywy atakującego jest to idealny punkt wejścia, ponieważ dostęp do n8n często oznacza dostęp do całego ekosystemu IT.

Poważna podatność

Jak podaje Baysec, podatność Ni8mare, CVE-2026-21858 (CVSS 10.0) umożliwia nieautoryzowany dostęp do zasobów serwera. Błąd w obsłudze typu zawartości (Content-Type confusion) umożliwia nieautoryzowany odczyt dowolnych plików na serwerze, w tym plików konfiguracyjnych aplikacji, bazy danych SQLite oraz sekretów (klucze szyfrujące, tokeny sesyjne, poświadczenia API i OAuth).

W efekcie atakujący bez konieczności posiadania konta, uwierzytelnienia ani wcześniejszego dostępu do instancji n8n, może:

• odczytać wrażliwe dane (np. hashe użytkowników, klucze szyfrujące sesje);
• sfałszować ważny token sesyjny administratora;
• przejąć pełną kontrolę administracyjną nad instancją;
• eskalować atak do zdalnego wykonania dowolnego kodu (RCE).

Problem wynika z błędnej obsługi nagłówka Content-Type przy przetwarzaniu żądań HTTP kierowanych do publicznych endpointów webhooków oraz formularzy. Dzięki temu atakujący może manipulować mechanizmem przetwarzania plików i uzyskać nieautoryzowany dostęp do dowolnych plików w systemie.

Rekomendacje

Najważniejszym wnioskiem z raportu jest konieczność natychmiastowej reakcji. W praktyce oznacza to aktualizację wszystkich instancji n8n do wersji n8n 2.0.0 lub nowszej. Aktualizacja łata nie tylko lukę Ni8mare, ale również inne krytyczne podatności opisane w raporcie. Odkładanie aktualizacji w tym przypadku oznacza akceptację wysokiego ryzyka kompromitacji systemu.

Raport pokazuje również szerszy problem związany z architekturą narzędzi automatyzacji. N8n, podobnie jak inne platformy low-code i no-code, łączy w sobie dostęp do danych, systemów zewnętrznych i możliwości wykonywania kodu. To sprawia, że pojedyncza luka może prowadzić do eskalacji na poziomie całej infrastruktury.

W perspektywie długoterminowej kluczowe staje się konsekwentne wdrażanie zasady najmniejszych uprawnień, zarówno na poziomie samej platformy, jak i systemów, z którymi jest integrowana.