Por Mid 
La vulnerabilidad n8n Ni8mare (CVE-2026-21858) está poniendo en riesgo más de 100,000 servidores de automatización a nivel global. Descubierta por Cyera Research Labs el 7 de enero de 2026, esta falla crítica con puntuación CVSS 10.0 permite a atacantes sin autenticación ejecutar código arbitrario, robar credenciales y comprometer completamente instancias de n8n expuestas públicamente.
¿Qué es la Vulnerabilidad N8n Ni8mare CVE-2026-21858?
La vulnerabilidad n8n Ni8mare es una falla de ejecución remota de código (RCE) sin autenticación que afecta a n8n, una popular plataforma de automatización de flujos de trabajo utilizada por empresas para integrar APIs, bases de datos, almacenamiento en la nube y pipelines CI/CD.
El problema técnico radica en una confusión de Content-Type en el manejo de webhooks de formularios. Cuando n8n procesa solicitudes HTTP a través de su componente Form, invoca funciones de manejo de archivos sin verificar que el encabezado Content-Type sea multipart/form-data. Esto permite a atacantes:
- Cambiar el Content-Type de
multipart/form-dataaapplication/json - Sobrescribir
req.body.filescon JSON malicioso conteniendo rutas de archivos arbitrarias - Copiar archivos críticos del sistema como
/home/node/.n8n/database.sqlitey/home/node/.n8n/config
La vulnerabilidad afecta todas las versiones de n8n hasta la 1.65.0, con el parche disponible en la versión 1.121.0 lanzada en noviembre de 2025.
Cadena de Ataque: Cómo se Explota la Vulnerabilidad N8n Ni8mare
La explotación exitosa de la vulnerabilidad n8n Ni8mare sigue una cadena de ataque en tres fases documentada por Cyera Research Labs:
Fase 1: Lectura Arbitraria de Archivos
Los atacantes interceptan envíos de formularios públicos y manipulan el parámetro filepath para acceder a archivos sensibles del sistema como /etc/passwd, logs de aplicación o archivos de configuración. Esta fase no requiere autenticación si el formulario n8n está expuesto públicamente.
Fase 2: Bypass de Autenticación
Al extraer la base de datos SQLite (database.sqlite) y el archivo de configuración (config), los atacantes obtienen:
- Credenciales de usuarios administradores
- Secretos de cifrado internos
- Material criptográfico para construir cookies de sesión JWT válidas
Con esta información, es posible falsificar cookies de autenticación y acceder como administrador sin credenciales legítimas.
Fase 3: Ejecución Remota de Código
Una vez autenticados como administradores, los atacantes aprovechan el nodo «Execute Command» integrado en n8n —diseñado para casos legítimos de automatización— para ejecutar comandos arbitrarios en el sistema operativo host. Esto otorga control total del servidor y acceso a todas las integraciones configuradas (APIs, credenciales de AWS, tokens de GitHub, etc.).
Impacto Global: 100,000 Servidores N8n en Riesgo
Según análisis de SC Media y Horizon3.ai, aproximadamente 100,000 instancias de n8n están expuestas públicamente a nivel global. Sin embargo, Horizon3.ai aclara que la explotación requiere condiciones específicas:
- Un workflow de formulario n8n debe estar creado y accesible públicamente sin autenticación
- Los atacantes necesitan un mecanismo secundario para recuperar archivos robados (como chatbots con acceso de lectura o logs de ejecución visibles)
A pesar de estas limitaciones, la severidad es extrema debido a que n8n actúa como punto único de fallo en infraestructuras empresariales, centralizando acceso a sistemas críticos como AWS, Google Cloud, bases de datos PostgreSQL, APIs de pago y repositorios de código.
Timeline del Descubrimiento de Ni8mare
- 9 de noviembre de 2025: Cyera Research Labs reporta la vulnerabilidad a n8n de forma responsable
- 18 de noviembre de 2025: n8n lanza versión 1.121.0 con el parche de seguridad
- 6 de enero de 2026: Se asigna CVE-2026-21858 oficialmente
- 7 de enero de 2026: Divulgación pública por Cyera con análisis técnico completo
- 8 de enero de 2026: Horizon3.ai publica análisis secundario y fingerprints de detección
Actualmente se han detectado intentos de explotación activos contra servidores vulnerables, según reportan múltiples proveedores de seguridad.
Mitigación y Remediación: Protegiendo tus Servidores N8n
Para protegerse contra la vulnerabilidad n8n Ni8mare, se recomienda implementar las siguientes medidas de forma urgente:
1. Actualizar Inmediatamente
Migrar a n8n versión 1.121.0 o superior. No existen workarounds oficiales efectivos. La actualización es la única solución definitiva.
# Si usas npm
npm update n8n
# Si usas Docker
docker pull n8nio/n8n:latest
docker restart n8n2. Restringir Exposición Pública
- No exponer instancias n8n directamente a Internet sin VPN o autenticación perimetral
- Implementar autenticación obligatoria en todos los formularios públicos
- Configurar firewall de aplicación web (WAF) con reglas para detectar manipulación de Content-Type
3. Auditar Configuraciones Vulnerables
Revisar workflows existentes buscando componentes de formulario (n8n-form) accesibles públicamente sin autenticación. Horizon3.ai proporciona fingerprints de detección:
- Hash de favicon:
-831756631 - Archivos característicos:
@n8n/chat/dist/chat.bundle.es.js
4. Monitorizar Actividad Sospechosa
Buscar en logs intentos de:
- Solicitudes POST con Content-Type cambiado de
multipart/form-dataaapplication/json - Accesos a rutas de archivos sensibles como
/home/node/.n8n/database.sqlite - Creación súbita de workflows con nodos «Execute Command»
Contexto: Vulnerabilidades Similares en Automatización
La vulnerabilidad n8n Ni8mare se suma a una serie de incidentes críticos en plataformas de automatización durante 2025-2026. Previamente, el blog ha cubierto vulnerabilidades en Fortinet FortiOS CVE-2026-24858 y tres zero-days en VMware ESXi, demostrando que los sistemas de infraestructura crítica son objetivos prioritarios para atacantes APT.
Otras categorías afectadas incluyen ataques de ransomware que frecuentemente explotan vulnerabilidades de RCE como punto de entrada inicial. La combinación de acceso sin autenticación y score CVSS 10.0 coloca a Ni8mare entre las amenazas más críticas de 2026.
Preguntas Frecuentes (FAQ)
¿Qué versiones de n8n son vulnerables a Ni8mare CVE-2026-21858?
Todas las versiones de n8n hasta e incluyendo la 1.65.0 son vulnerables. La versión 1.121.0 lanzada en noviembre de 2025 incluye el parche de seguridad necesario.
¿La vulnerabilidad n8n Ni8mare está siendo explotada activamente?
Sí, múltiples proveedores de seguridad han detectado intentos de explotación activos desde la divulgación pública el 7 de enero de 2026. Detalles técnicos y Proof-of-Concept están disponibles públicamente.
¿Puedo mitigar CVE-2026-21858 sin actualizar n8n?
No existen workarounds oficiales efectivos. La actualización a versión 1.121.0 o superior es la única remediación completa. Como medida temporal, se recomienda deshabilitar formularios públicos sin autenticación y restringir acceso mediante VPN.
¿Cuántos servidores n8n están expuestos globalmente?
Análisis de superficie de ataque estiman aproximadamente 100,000 instancias de n8n expuestas públicamente. Sin embargo, no todas configuran formularios públicos sin autenticación, requisito para explotación exitosa.
¿Qué impacto tiene CVE-2026-21858 en mi infraestructura?
Una instancia n8n comprometida otorga acceso a todas las integraciones configuradas: APIs de terceros, credenciales de AWS/Azure/GCP, bases de datos, repositorios de código y sistemas de CI/CD. Representa un punto único de fallo con potencial de compromiso total de infraestructura empresarial.
Conclusión: Acción Inmediata Requerida
La vulnerabilidad n8n Ni8mare CVE-2026-21858 representa una amenaza crítica para organizaciones que confían en n8n para automatización empresarial. Con un score CVSS 10.0, explotación activa confirmada y 100,000 servidores potencialmente expuestos, la actualización inmediata a versión 1.121.0 o superior es imperativa.
Los equipos de seguridad deben priorizar la auditoría de instancias n8n, especialmente aquellas con formularios públicos sin autenticación. La naturaleza centralizada de n8n en arquitecturas de integración la convierte en objetivo de alto valor para atacantes que buscan acceso lateral a infraestructura crítica.
Para mantenerse informado sobre vulnerabilidades críticas similares, consulta nuestra cobertura en la categoría de Vulnerabilidades y suscríbete a nuestras actualizaciones de seguridad.