Zo'n zestigduizend servers waarop n8n draait, waaronder veertienhonderd in Nederland, missen een beveiligingsupdate voor een zeer kritieke kwetsbaarheid. Dat meldt The Shadowserver Foundation op basis van eigen onderzoek. N8n is een tool voor het automatiseren van workflows en maakt het mogelijk om taken te automatiseren en data tussen allerlei apps, tools, platforms en services uit te wisselen.

De kritieke kwetsbaarheid, aangeduid als Ni8mare en CVE-2026-21858, maakt het mogelijk voor een ongeauthenticeerde aanvaller om via specifieke, formuliergebaseerde workflows toegang te krijgen tot bestanden op de onderliggende server. Zo is het mogelijk om inloggegevens van de administrator te stelen en zo als admin in te loggen. Vervolgens kan er een nieuwe workflow worden gemaakt waarmee het mogelijk is om code op het systeem uit te voeren. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 10.0.

Vijf dagen geleden werd het bestaan van de kwetsbaarheid bekendgemaakt. Het Nationaal Cyber Security Centrum (NCSC) liet vervolgens weten dat het misbruik van het probleem verwacht, mede vanwege de beschikbaarheid van proof-of-concept exploitcode. The Shadowserver Foundation is een stichting die onderzoek doet naar kwetsbare systemen op internet. Op 9 januari werden ruim 105.000 kwetsbare n8n-servers gedetecteerd. Dat aantal is inmiddels gedaald naar zo'n zestigduizend. Daarvan bevinden zich er nog zo'n veertienhonderd in Nederland. De meeste kwetsbare installaties (27.000) bevinden zich in de Verenigde Staten.