n8n nel mirino! Un bug con CVSS 10 permette la compromissione totale delle istanze

n8n, la piattaforma di automazione del flusso di lavoro “fair-code” apprezzata dai team tecnici per la sua combinazione di velocità low-code e flessibilità di programmazione, ha emesso un avviso di sicurezza critico.

Pochi dettagli sono disponibili sul metodo esatto di sfruttamento per prevenire abusi su larga scala, tuttavia, i consigli per la mitigazione forniscono una significativa indicazione: la vulnerabilità potrebbe essere legata alle funzionalità di gestione delle versioni della piattaforma.

Nello specifico, è un bug altamente critico, monitorato con l’identificatore CVE-2026-21877, che raggiunge il punteggio CVSS massimo possibile di 10,0, minacciando sia le istanze self-hosted che quelle basate su cloud con una compromissione totale.

La vulnerabilità è una Remote Code Execution (RCE), la quale consente a un utente autenticato di sovrascrivere file critici ed eseguire codice non attendibile sul server, consegnandogli di fatto l’accesso al sistema sottostante.

L’avviso sottolinea esplicitamente che la falla consente a un aggressore di “causare l’esecuzione di codice non attendibile da parte del servizio n8n”. Ciò avviene tramite un meccanismo di “scrittura arbitraria di file”.

La soluzione alternativa suggerita punta il dito contro il nodo Git, una funzionalità probabilmente utilizzata per il controllo delle versioni dei flussi di lavoro. Agli amministratori che non sono in grado di applicare immediatamente la patch si consiglia di “ridurre l’esposizione disabilitando il nodo Git”, suggerendo che questo componente è il vettore utilizzato per scrivere i file dannosi.

Un punteggio CVSS pari a 10 è raro e riservato alle vulnerabilità più pericolose, ovvero quelle facili da sfruttare, che richiedono una bassa complessità e comportano la perdita totale di riservatezza, integrità e disponibilità.

In questo caso, sebbene l’attacco richieda un “utente autenticato”, n8n viene spesso utilizzato in modo collaborativo. Un singolo account utente compromesso, o un malintenzionato interno, potrebbe sfruttare questa falla per innescare una “compromissione completa dell’istanza interessata”.

Il rischio è universale: “Sono interessate sia le istanze self-hosted che quelle n8n Cloud”. Il team di n8n si è mosso rapidamente per tappare la falla. La vulnerabilità è stata risolta nella versione 1.121.3 di n8n.

Si consiglia vivamente a tutti gli utenti di eseguire immediatamente l’aggiornamento a questa versione o a una successiva. Per coloro che non possono disattivare il sistema per un aggiornamento in questo momento, la principale difesa consiste nel disabilitare il nodo Git e limitare rigorosamente l’accesso ai soli utenti attendibili.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Agostino Pellegrino

E’ un libero professionista, insegnante e perito di informatica Forense, Cyber Security ed Ethical Hacking e Network Management. Ha collaborato con importanti istituti di formazione a livello internazionale e ha esercitato teaching e tutorship in tecniche avanzate di Offensive Security per la NATO ottenendo importanti riconoscimenti dal Governo degli Stati Uniti. Il suo motto è “Studio. Sempre”.

Aree di competenza: Cybersecurity architecture, Threat intelligence, Digital forensics, Offensive security, Incident response & SOAR, Malware analysis, Compliance & frameworks