CVSS 10.0: la falla che permette di prendere il controllo totale di 100.000 server n8n

La vulnerabilità , identificata come CVE-2026-21858, della quale avevamo parlato recentemente, colpisce circa 100.000 server in tutto il mondo, minacciando di esporre chiavi API, database dei clienti e flussi di lavoro di intelligenza artificiale proprietari.

La vulnerabilità, con un punteggio CVSS di 10, presenta una catena di exploit Proof-of-Concept (PoC) pubblica, pertanto i malintenzionati del cibercrimine stanno pianificando di approfittarne. n8n è un “sistema nervoso centrale” dell’automazione, e consente ad aggressori non autenticati di assumere il pieno controllo del server.

Il problema si verifica nel nodo webhook del modulo, utilizzato per il caricamento dei file. La funzione che gestisce questi caricamenti, prepareFormReturnItem, presuppone che req.body.files contenga file caricati legittimamente. Tuttavia, non riesce a verificare che la richiesta fosse effettivamente multipart/form-data.

In sostanza, la vulnerabilità è un errore logico nel modo in cui n8n elabora le richieste HTTP in arrivo, in particolare una “Content-Type Confusion”.

Ciò consente a un aggressore di eseguire un trucco semplice ma mortale:

1. Inviare una richiesta con Content-Type: application/json.
2. Includere un oggetto file dannoso nel corpo JSON.
3. Definire manualmente il percorso del file in quell’oggetto in modo che punti a qualsiasi file sul server (ad esempio, etc passwd).

Poiché l’applicazione si fida di questo input, “copia” il file di sistema interno e lo restituisce all’aggressore, concedendogli una primitiva di lettura di file arbitrari.

Sebbene la lettura dei file sia dannosa, il rapporto di Cyera descrive in dettaglio come questa primitiva tecnica possa essere sfruttata per prendere il controllo completo del server. Il percorso di attacco è metodico e spaventosamente efficace:

1. Fase 1: furto delle credenziali.
2. Fase 2: falsificazione della sessione.
3. Fase 3: esecuzione del codice.

Il ricercatore di sicurezza Chocapikk ha già pubblicato una Proof-of-Concept (PoC) che collega questa vulnerabilità a un’altra falla (CVE-2025-68613) per ottenere l’esecuzione di codice remoto (RCE) non autenticata.

Il “raggio di esplosione” è enorme.

Poiché n8n è progettato per connettere sistemi eterogenei, un’istanza compromessa fornisce agli aggressori le chiavi di tutto ciò che tocca: “Google Drive aziendale, chiavi API OpenAI, dati Salesforce, sistemi IAM, processori di pagamento” e altro ancora.

Non esistono soluzioni alternative ufficiali per questa vulnerabilità.

Si consiglia agli amministratori di aggiornare immediatamente n8n alla versione 1.121.0 o successiva per porre fine alla falla.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Agostino Pellegrino

E’ un libero professionista, insegnante e perito di informatica Forense, Cyber Security ed Ethical Hacking e Network Management. Ha collaborato con importanti istituti di formazione a livello internazionale e ha esercitato teaching e tutorship in tecniche avanzate di Offensive Security per la NATO ottenendo importanti riconoscimenti dal Governo degli Stati Uniti. Il suo motto è “Studio. Sempre”.

Aree di competenza: Cybersecurity architecture, Threat intelligence, Digital forensics, Offensive security, Incident response & SOAR, Malware analysis, Compliance & frameworks