Het Nationaal Cyber Security Centrum (NCSC) verwacht dat aanvallers misbruik zullen gaan maken van een kritieke kwetsbaarheid in n8n, aangeduid als Ni8mare en CVE-2026-21858, waardoor ongeauthenticeerde remote code execution mogelijk is. N8n is een tool voor het automatiseren van workflows en maakt het mogelijk om taken te automatiseren en data tussen allerlei apps, tools, platforms en services uit te wisselen.

CVE-2026-21858 maakt het mogelijk voor een ongeauthenticeerde aanvaller om via specifieke, formuliergebaseerde workflows toegang te krijgen tot bestanden op de onderliggende server. Zo is het mogelijk om inloggegevens van de administrator te stelen en zo als admin in te loggen. Vervolgens kan er een nieuwe workflow worden gemaakt waarmee het mogelijk is om code op het systeem uit te voeren. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 10.0.

"De impact van een gecompromitteerde n8n is enorm", aldus securitybedrijf Cyera. "N8n verbindt talloze systemen met elkaar, de Google Drive van je organisatie, OpenAI API keys, Salesforce data, IAM-systemen, betaalverwerkers, klantendatabases, CI/CD pipelines en meer. Het is het centrale zenuwsysteem van je automatiserings-infrastructuur." Volgens de onderzoekers raakt de kwetsbaarheid zo'n 100.000 n8n-servers wereldwijd.

"Onderzoekers hebben een proof-of-concept (PoC) gepubliceerd en gezien het wijdverbreide gebruik van n8n acht het NCSC het waarschijnlijk dat pogingen tot misbruik zullen toenemen", zo laat het Nationaal Cyber Security Centrum vandaag weten. De overheidsinstantie adviseert het installeren van de beschikbaar gestelde beveiligingsupdate, ervoor zorgen dat n8n-servers alleen vanaf het internet bereikbaar zijn als dit strikt noodzakelijk is en het vereisen van authenticatie voor alle aangemaakte formulieren.