CVSS 10.0: la falla che permette di prendere il controllo totale di 100.000 server n8n

La vulnerabilità , identificata come CVE-2026-21858, della quale avevamo parlato recentemente, colpisce circa 100.000 server in tutto il mondo, minacciando di esporre chiavi API, database dei clienti e flussi di lavoro di intelligenza artificiale proprietari.

La vulnerabilità, con un punteggio CVSS di 10, presenta una catena di exploit Proof-of-Concept (PoC) pubblica, pertanto i malintenzionati del cibercrimine stanno pianificando di approfittarne. n8n è un “sistema nervoso centrale” dell’automazione, e consente ad aggressori non autenticati di assumere il pieno controllo del server.

Il problema si verifica nel nodo webhook del modulo, utilizzato per il caricamento dei file. La funzione che gestisce questi caricamenti, prepareFormReturnItem, presuppone che req.body.files contenga file caricati legittimamente. Tuttavia, non riesce a verificare che la richiesta fosse effettivamente multipart/form-data.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

In sostanza, la vulnerabilità è un errore logico nel modo in cui n8n elabora le richieste HTTP in arrivo, in particolare una “Content-Type Confusion”.

Ciò consente a un aggressore di eseguire un trucco semplice ma mortale:

1. Inviare una richiesta con Content-Type: application/json.
2. Includere un oggetto file dannoso nel corpo JSON.
3. Definire manualmente il percorso del file in quell’oggetto in modo che punti a qualsiasi file sul server (ad esempio, etc passwd).

Poiché l’applicazione si fida di questo input, “copia” il file di sistema interno e lo restituisce all’aggressore, concedendogli una primitiva di lettura di file arbitrari.

Sebbene la lettura dei file sia dannosa, il rapporto di Cyera descrive in dettaglio come questa primitiva tecnica possa essere sfruttata per prendere il controllo completo del server. Il percorso di attacco è metodico e spaventosamente efficace:

1. Fase 1: furto delle credenziali.
2. Fase 2: falsificazione della sessione.
3. Fase 3: esecuzione del codice.

Il ricercatore di sicurezza Chocapikk ha già pubblicato una Proof-of-Concept (PoC) che collega questa vulnerabilità a un’altra falla (CVE-2025-68613) per ottenere l’esecuzione di codice remoto (RCE) non autenticata.

Il “raggio di esplosione” è enorme.

Poiché n8n è progettato per connettere sistemi eterogenei, un’istanza compromessa fornisce agli aggressori le chiavi di tutto ciò che tocca: “Google Drive aziendale, chiavi API OpenAI, dati Salesforce, sistemi IAM, processori di pagamento” e altro ancora.

Non esistono soluzioni alternative ufficiali per questa vulnerabilità.

Si consiglia agli amministratori di aggiornare immediatamente n8n alla versione 1.121.0 o successiva per porre fine alla falla.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.