Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Negli ultimi tempi, la piattaforma di automazione n8n sta affrontando una serie crescente di bug di sicurezza.
n8n è una piattaforma di automazione che trasforma task complessi in operazioni semplici e veloci. Con pochi click puoi collegare app, servizi e API diverse, creare workflow personalizzati e automatizzare processi ripetitivi senza scrivere una riga di codice. In pratica, n8n ti permette di orchestrare tutte le tue attività digitali da un unico punto, risparmiando tempo e riducendo il rischio di errori manuali.
Gli sviluppatori hanno recentemente corretto una serie di vulnerabilità tra le quali bug che permettono l’esecuzione di comandi arbitrari sul server. Questa falla, identificata come CVE-2026-25049, ha un punteggio di gravità 9,4 secondo la scala CVSS ed è legata a una precedente correzione, CVE-2025-68613, risolta a dicembre 2025. Si tratta quindi di un bypass della patch precedentemente realizzata.
Il problema deriva da un’insufficiente sanificazione dei dati nel meccanismo di calcolo delle espressioni, che consente di bypassare le restrizioni della sandbox di n8n.
Per sfruttare questa vulnerabilità, l’attaccante deve essere un utente autenticato con permessi di creazione o modifica dei workflow. Tuttavia, secondo SecureLayer7, il rischio aumenta se vengono utilizzati i webhook pubblici di n8n. Un malintenzionato potrebbe creare un workflow accessibile pubblicamente, inserendo espressioni malevoli nei parametri dei nodi, trasformando il webhook in un punto di esecuzione remota dei comandi.
Le conseguenze possono andare ben oltre il semplice controllo del server. Come sottolinea Pillar Security, gli attacchi possono compromettere chiavi API, credenziali dei provider cloud, password di database e token OAuth. Inoltre, l’accesso ai file locali e alle risorse interne, compresi account cloud e workflow AI, può essere completamente violato.
Secondo Endor Labs, la vulnerabilità è dovuta a discrepanze tra i controlli dei tipi in TypeScript durante la compilazione e il comportamento di JavaScript in fase di esecuzione. Ciò consente a dati di tipo non previsto dall’attaccante di bypassare i controlli progettati per valori stringa.
| Package Name | Advisory | Version | Published (UTC) | Status | Severity |
|---|---|---|---|---|---|
| n8n | CVE-2026-25049 | <2.5.2 <1.123.17 | February 4, 2026 | Fixed | Critical |
| n8n | CVE-2026-25056 | <1.118.0 >2.0.0 < 2.4.0 | February 4, 2026 | Fixed | Critical |
| n8n | CVE-2026-25053 | <1.123.10 <2.5.0 | February 4, 2026 | Fixed | Critical |
| n8n | CVE-2026-25052 | <2.5.0 <1.123.18 | February 4, 2026 | Fixed | Critical |
| n8n | CVE-2026-25115 | < 2.4.8 | February 4, 2026 | Fixed | Critical |
| n8n | CVE-2026-25055 | <2.2.3 | February 4, 2026 | Fixed | High |
| n8n | CVE-2026-25054 | <2.2.0 | February 4, 2026 | Fixed | High |
| n8n | CVE-2026-25051 | <1.123.2 | February 4, 2026 | Fixed | High |
| n8n | GHSA-2xcx-75h9-vr9h | <1.121.0 | February 4, 2026 | Fixed | Moderate |
| n8n | CVE-2026-21893 | >= 0.187.0 <1.120.3 | February 4, 2026 | Fixed | Low |
Le versioni interessate sono n8n inferiori alla 1.123.17 e alla 2.5.2, dove il problema è già stato risolto. In mancanza di aggiornamenti immediati, è consigliabile limitare i permessi di creazione e modifica dei workflow solo agli utenti fidati e far girare n8n in ambienti isolati con privilegi minimi e restrizioni di rete.
Oltre a CVE-2026-25049, n8n ha segnalato altre falle gravi: CVE-2026-25053 (iniezione di comandi nei nodi Git), CVE-2026-25056 (scrittura arbitraria tramite SQL Query nel nodo Merge), CVE-2026-25054 (XSS persistente in markdown) e CVE-2026-25055 (bypass dei percorsi tramite nodo SSH).
Le minacce confermano come anche piattaforme consolidate possano diventare rapidamente vettori di attacco se non gestite con attenzione. L’aggiornamento costante e la gestione rigorosa dei permessi rimangono le armi principali per ridurre i rischi.
La ricerca e le analisi dettagliate di queste vu3lnerabilità sono state condotte da Endor Labs, che spiega chiaramente i motivi tecnici alla base delle falle e fornisce raccomandazioni precise per mitigare i rischi.
Proteggere i propri sistemi oggi significa anticipare le mosse degli hacker, non inseguirle. Solo un approccio proattivo può prevenire danni irreparabili e garantire workflow sicuri.
Negli ultimi mesi, n8n ha registrato un numero elevato di vulnerabilità principalmente per l’aumento della sua diffusione e popolarità. Essendo una piattaforma utilizzata da sviluppatori, aziende e team DevOps in tutto il mondo, ogni falla scoperta ha un impatto significativo, attirando maggiore attenzione sia da parte dei ricercatori di sicurezza sia da potenziali aggressori.
Un altro fattore è la complessità tecnica della piattaforma. n8n integra numerosi nodi, linguaggi di scripting e interfacce con servizi esterni, il che aumenta la superficie di attacco. Anche piccoli errori nella gestione dei dati o nella sanificazione degli input possono trasformarsi rapidamente in vulnerabilità critiche come RCE o XSS.
Infine, il recente aumento dei bug è legato a una maggiore trasparenza e controllo della sicurezza. Programmi di disclosure responsabile, audit esterni e test approfonditi hanno portato alla luce problemi che in passato sarebbero rimasti nascosti, accelerando la pubblicazione di CVE e alert per gli utenti.
Questo approccio, sebbene esponga più vulnerabilità, contribuisce a rendere la piattaforma più sicura nel lungo periodo perché è meglio che un bug sia pubblico che nascosto sotto al tappeto.
QUATTRO LEZIONI PER COMPRENDERE IL DARKWEB ED ENTRARE DA PROTAGONISTI NELLA CYBER THREAT INTELLIGENCE.
Per info e iscrizioni: 📱 Whatsapp 379 163 8765 ✉️ [email protected]
Dopo il successo delle scorse edizioni, Red Hot Cyber è lieta di annunciare una nuova live-class del corso "Dark Web & Cyber Threat Intelligence". A differenza dei corsi e-learning pre-registrati, queste lezioni online in tempo reale, condotte dal professor Pietro Melillo, offrono un’esperienza formativa interattiva e coinvolgente, ideale per approfondire i contenuti e affrontare casi pratici.
Le Live Class sono progettate per garantire un apprendimento mirato e personalizzato, con un massimo di 14 partecipanti per sessione. Questo consente di adattare il percorso formativo alle esigenze specifiche, ma anche di mantenere alta la qualità: i posti sono limitati e nelle scorse edizioni sono andati in sold-out due settimane prima dell’inizio. Prenota subito per assicurarti il tuo posto!
Risorse online:
Al termine del corso, potrai accedere all’esclusivo Laboratorio di Intelligence DarkLab, un ambiente operativo dove mettere in pratica le competenze acquisite. Sarà l’occasione per sperimentare attività di investigazione nel Dark Web, analisi delle minacce e redazione di report di intelligence e ricerche approfondite.
Per info e iscrizioni: 📱 Whatsapp 379 163 8765 ✉️ [email protected]