n8n Hacked From Zero Login: Satu Bug, Semua Secrets & Workflow Bocor

Pernah ngerasa gak kalau sistem otomasi yang kamu andalkan buat bikin kerjaan jadi simpel justru bisa jadi pintu masuk paling lebar buat peretas? Bayangin kamu sudah capek-capek nyusun alur kerja yang rumit, menyimpan semua kunci akses API perusahaan, hingga data pelanggan, tapi semuanya bisa dicuri cuma lewat satu celah kecil tanpa peretas perlu login sama sekali. Kebanyakan orang salah kaprah dan merasa aman selama mereka sudah pasang password yang kuat, padahal kenyataannya ada bug fatal yang bisa bikin pertahanan itu gak berguna sama sekali. Di artikel ini, kamu bakal nemuin fakta mengerikan di balik kerentanan kritis bernama Ni8mare yang baru saja mengguncang platform n8n.

Kenapa Kerentanan Ni8mare Bisa Jadi Mimpi Buruk Bagi Pengguna n8n

Sebuah kerentanan kritis dengan skor sempurna CVSS 10.0 baru saja ditemukan pada n8n, platform workflow automation yang sangat populer untuk integrasi sistem. Fakta pembuka yang harus kamu tahu adalah bug berkode CVE-2026-21858 ini memungkinkan eksploitasi tanpa memerlukan autentikasi atau login sama sekali. Penyerang bisa masuk begitu saja melalui endpoint Form atau Webhook yang terekspos ke internet publik.

Masalah utamanya berasal dari mekanisme parsing request yang cacat saat memproses data berbasis Content-Type. Fungsi internal bernama copyBinaryFile() dijalankan tanpa memverifikasi data multipart/form-data dengan benar, sehingga objek file di dalamnya dapat dikendalikan sepenuhnya oleh penyerang. Kondisi ini memungkinkan siapa pun untuk membaca file lokal di dalam sistem, bukan hanya terbatas pada file yang diunggah secara resmi melalui form tersebut.

Transisi natural ini membawa kita pada ngerinya dampak yang bisa terjadi kalau satu saja alur kerja kamu berhasil ditembus oleh peretas.

Satu Workflow yang Terekspos Bisa Membuka Akses ke Seluruh Instance n8n

Menurut laporan resmi dari Cyera Research Labs, kerentanan ini memberikan akses yang sangat luas bagi para penyerang untuk mengacak-acak sistem kamu. Hacker bisa dengan mudah mengakses file pada server inti, mengekstrak data rahasia (secrets), hingga mengambil data konfigurasi yang sangat sensitif. Hal yang paling menakutkan adalah mereka bisa memalsukan session administrator untuk melakukan bypass autentikasi secara penuh.

Begitu peretas berhasil masuk sebagai admin, mereka bisa menjalankan perintah apa pun hingga mencapai tahap Remote Code Execution (RCE). Dengan kata lain, satu alur kerja yang terekspos sudah cukup untuk membuka kunci ke seluruh instance n8n milik kamu. Ini adalah bencana besar karena n8n sering menjadi titik kegagalan tunggal (single point of failure) karena di sanalah semua kredensial penting disimpan.

Nah, sekarang kamu pasti penasaran gimana cara peretas melakukan serangan ini secara bertahap sampai bisa menguasai semuanya.

Contoh Serangan Berantai: Dari Membaca Database Hingga Ambil Alih Penuh

Ekskalasi serangan yang didemonstrasikan oleh para peneliti menunjukkan betapa sistematisnya hacker dalam memanfaatkan bug ini. Pertama, mereka akan membaca database internal seperti database.sqlite untuk mencari informasi dasar. Selanjutnya, mereka mengekstrak data administrator mulai dari ID, email, hingga kata sandi yang terenkripsi.

Setelah mendapatkan data tersebut, hacker akan membaca file konfigurasi untuk mendapatkan kunci enkripsi rahasia yang tersimpan di server. Dengan kunci tersebut, mereka bisa memalsukan session cookie agar bisa masuk ke dashboard n8n tanpa perlu tahu password aslinya. Tahap akhirnya adalah membuat alur kerja baru dengan node Execute Command yang memungkinkan mereka mengendalikan server kamu sepenuhnya.

Melihat ngerinya serangan ini, statistik dari mesin pencari keamanan menunjukkan bahwa ribuan sistem di luar sana masih dalam bahaya besar.

Langkah-langkah ini juga dapat digunakan untuk mencegah terjadinya pencurian data melalui Instagram:

Skala Risiko Global: 26 Ribu Instance n8n Masih Terbuka Lebar di Internet

Data terbaru dari Censys menunjukkan fakta yang mencengangkan bahwa ada lebih dari 26.000 instance n8n yang masih terekspos langsung ke internet publik. Padahal, platform ini menyimpan aset yang sangat berharga seperti kredensial API, token OAuth, koneksi database, hingga akses ke berbagai layanan cloud. Jika kamu adalah salah satu pengguna yang masih menjalankan versi lama, maka data-data penting tersebut sedang berada di ujung tanduk.

Banyak perusahaan gak sadar kalau kemudahan integrasi yang ditawarkan n8n juga membawa risiko keamanan yang setara jika tidak dikelola dengan benar. Risiko ini bukan lagi sekadar teori, karena celah Ni8mare sudah terbukti bisa dieksploitasi dengan tingkat keberhasilan yang sangat tinggi. Jangan sampai kamu baru bertindak setelah melihat semua data rahasia perusahaan kamu bocor di forum gelap.

Pro Tips untuk Mitigasi Cepat Sebelum Kamu Jadi Korban

Tips pertama yang WAJIB kamu lakukan adalah segera upgrade n8n kamu ke versi 1.121.0 atau yang lebih baru untuk menutup celah Ni8mare ini. Selanjutnya, sebisa mungkin hindari mengekspos dashboard n8n kamu langsung ke internet publik tanpa perlindungan tambahan seperti VPN atau akses terbatas. Dan yang terakhir, pastikan kamu menerapkan autentikasi yang ketat pada seluruh Form serta membatasi atau menonaktifkan Webhook publik yang tidak benar-benar diperlukan.

Kesimpulan

Jadi intinya kerentanan Ni8mare adalah ancaman nyata yang bisa bikin seluruh rahasia dan alur kerja kamu bocor tanpa perlu login sama sekali. Coba deh cek sekarang juga, versi berapa n8n yang kamu pakai, jangan-jangan masih versi rentan! Kamu sudah siap belum buat bersih-bersih dan memperketat keamanan otomasi kamu hari ini? Selalu ingat bahwa dalam dunia otomasi, keamanan yang kendor adalah undangan terbuka bagi peretas untuk berpesta di server kamu.