Allerta n8n: Scoperte due falle RCE critiche (CVE-2026-1470). Aggiorna ora!

La piattaforma n8n, software open source ampiamente adottato per orchestrare automazioni e workflow aziendali, è stata recentemente al centro di una nuova segnalazione di sicurezza: sono emerse due vulnerabilità nella sandbox che possono portare a Remote Code Execution (RCE) su istanze vulnerabili.

CVE-2026-1470: fuga dalla sandbox di JavaScript

La prima falla, identificata come CVE-2026-1470 e classificata con un punteggio di 9.9 (Critical), riguarda il meccanismo di valutazione delle expression in n8n.

In condizioni normali, la piattaforma esegue codice JavaScript all’interno di una sandbox isolata per evitare che utenti possano influire sul runtime. Tuttavia, secondo la ricerca pubblicata da JFrog Security Research, è possibile aggirare queste protezioni attraverso lacune nella logica di AST sanitization.

Così facendo, un utente autenticato può inserire JavaScript appositamente costruito all’interno dei workflow e ottenere l’esecuzione arbitraria di codice sul nodo principale dell’istanza.

CVE-2026-0863: Python sandbox bypass

La seconda vulnerabilità, CVE-2026-0863 con punteggio 8.5 (High), colpisce l’esecuzione di codice Python nella componente di task runner.

Anche qui la ricerca di JFrog ha dimostrato che è possibile bypassare le restrizioni imposte alla sandbox Python sfruttando specifici pattern di formattazione delle stringhe e gestioni delle eccezioni.

In pratica, un utente che dispone di credenziali di base può eseguire codice Python arbitrario sul sistema operativo sottostante, soprattutto se l’istanza è in “Internal execution mode”.

Implicazioni pratiche

Entrambe le falle sono sfruttabili se un utente è già autenticato e ha la possibilità di creare o modificare workflow.
Il rischio reale è che, una volta aggirate le sandbox, si possa arrivare a un controllo completo dell’istanza n8n, con potenziale accesso a dati sensibili, credenziali, variabili di ambiente e persino esecuzione di comandi di sistema a livello operativo.

Chi è interessato

Questi problemi si applicano sia a n8n Cloud sia alle installazioni self-hosted che non sono state aggiornate con le versioni patch.
JFrog raccomanda di aggiornare n8n alle versioni specifiche che risolvono tali vulnerabilità:

• Per CVE-2026-1470: almeno 1.123.17, 2.4.5 o 2.5.1
• Per CVE-2026-0863: almeno 1.123.14, 2.3.5 o 2.4.2

Riflessi nel panorama delle automazioni

Queste scoperte arrivano in un periodo in cui le piattaforme di workflow vengono sempre più integrate con sistemi aziendali cruciali e API esterne.

Un’istanza compromessa non significa solo un singolo servizio violato, ma un possibile accesso a molteplici sistemi collegati, rendendo prioritario il patching e una revisione delle policy di accesso.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella. Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.