Ein kritischer Fehler in n8n ermöglicht Angreifern die Übernahme von selbstgehosteten Systemen aus der Ferne; Update auf Version 1.121.0 oder höher. A critical flaw in n8n lets attackers take over self-hosted systems remotely; update to version 1.121.0 or later.

Eine kritische Schwachstelle, CVE-2026-21858, genannt "Ni8mare", in der Automatisierungsplattform n8n, ermöglicht eine nicht authentifizierte Ausführung von Remote-Code mit einem CVSS-Score von 10.0. A critical vulnerability, CVE-2026-21858, dubbed "Ni8mare," in the n8n automation platform allows unauthenticated remote code execution with a CVSS score of 10.0. Entdeckt von Cyera, stammt es von einem Verwirrungsfehler vom Typ Content, der Angreifern ermöglicht, HTTP-Header zu manipulieren und den vollen Systemzugriff auf selbstgehostete Instanzen zu erlangen. Discovered by Cyera, it stems from a Content-Type confusion flaw enabling attackers to manipulate HTTP headers and gain full system access on self-hosted instances. Der Fehler betrifft weit verbreitete selbstgehostete Bereitstellungen, mit über 100 Millionen Docker zieht und Tausenden von Organisationen, die auf n8n für Integrationen. The flaw affects widely used self-hosted deployments, with over 100 million Docker pulls and thousands of organizations relying on n8n for integrations. Es gibt keinen Workaround, und Benutzer müssen auf Version 1.121.0 oder höher upgraden. No workaround exists, and users must upgrade to version 1.121.0 or later. Das n8n-Team hat das Problem innerhalb von neun Tagen nach der Notifizierung am 9. November 2025 gepatcht. The n8n team patched the issue within nine days of being notified on November 9, 2025.