CVE-2025-68613: Vulnerabilità Critica RCE nella Piattaforma n8n
Analisi tecnica della vulnerabilità CVE-2025-68613 che interessa n8n, permettendo l'esecuzione di codice remoto attraverso l'iniezione di espressioni nei workf…
Contenuto
Scopri anche
- Ni8mare: Vulnerabilità Critica CVE-2026-21858 Minaccia le Istanze n8n
- Cisco corregge vulnerabilità RCE zero-day nei prodotti Unified Communications
- SK Gaming ottimizza la produzione audio con LAMA Connect e NDI
- Aggiornamenti software Samsung: patch di sicurezza e One UI 8.5
- Aggiornamento di febbraio 2026 per Windows 11: nuove funzionalità e miglioramenti
- Vulnerabilità Zero-Day: La Minaccia Invisibile nei Sistemi Informatici
- AI nel 2026: l'Integrazione Profonda nei Workflow Aziendali
- Aggiornamenti di sicurezza Apple correggono vulnerabilità zero-day critiche in Image I/O
- Trend AI 2026: Dall'Integrated AI alle Agentic Platforms
- Fine supporto Xiaomi: dispositivi senza aggiornamenti di sicurezza dal 2025
- L'evoluzione dell'IA agentica nel 2026: da sperimentazione a sistema operativo aziendale
- Analisi della vulnerabilità CVE-2026-21509 in Microsoft Office e misure di mitigazione
- Vulnerabilità critica VMware vCenter sfruttata attivamente: patch urgente
- Apple rilascia aggiornamenti di sicurezza settembre 2025: patch per Safari e sistemi operativi
- Patch Tuesday gennaio 2026: Microsoft corregge vulnerabilità zero-day già sfruttata
- Aggiornamento sicurezza Samsung gennaio 2026: 55 correzioni per Galaxy S25 e pieghevoli
- Nuova vulnerabilità zero-day in MOVEit Transfer: a rischio dati sensibili di aziende
- Avatar Frontiers of Pandora Update 2.0: Terza Persona e Nuove Opzioni di Performance
- Aggiornamento di sicurezza Samsung gennaio 2026: 55 correzioni per i dispositivi Galaxy
- Vulnerabilità critiche in Veeam Backup: aggiornamenti di sicurezza per prevenire RCE e attacchi ransomware
CVE-2025-68613: Vulnerabilità Critica RCE nella Piattaforma n8n
Una vulnerabilità critica identificata come CVE-2025-68613 è stata divulgata pubblicamente, interessando la piattaforma open source di automazione dei workflow n8n. La gravità del problema è stata valutata con un punteggio CVSS di 9.9/10.0, classificandola come rischio elevato per le implementazioni esposte a internet.
Meccanismo di sfruttamento della vulnerabilità
⬆ Torna suIl problema ha origine nel meccanismo di valutazione delle espressioni integrate nei workflow di n8n. Le espressioni, racchiuse tra doppie parentesi graffe {{ }}, vengono valutate lato server utilizzando Node.js. La vulnerabilità consiste in un isolamento insufficiente del sandbox di esecuzione, che permette a espressioni controllate dall'utente di evadere il contesto previsto.
Un attaccante autenticato può abusare di questo comportamento inserendo payload JavaScript appositamente creati nei campi di espressione dei nodi workflow. Questi payload possono accedere direttamente alle funzionalità interne di Node.js, incluso l'oggetto process e i moduli di sistema.
Versioni interessate e correzioni
⬆ Torna suLa vulnerabilità interessa le versioni di n8n a partire dalla 0.211.0 fino alle release 1.120.4, 1.121.1 e 1.122.0, escluse queste ultime che contengono la patch completa. Le versioni corrette introducono protezioni aggiuntive per limitare la valutazione delle espressioni e prevenire l'escape del sandbox.
Gli utenti sono fortemente invitati ad aggiornare immediatamente a una delle versioni patchate. Ambienti che avevano applicato mitigazioni parziali precedenti dovrebbero comunque procedere all'aggiornamento, poiché le correzioni iniziali non risolvevano completamente il problema sottostante.
Impatto sull'ambiente
⬆ Torna suLo sfruttamento riuscito della vulnerabilità può condurre al completo compromesso dell'istanza n8n affetta. Un attaccante può eseguire comandi arbitrari a livello di sistema operativo con i privilegi del processo n8n, ottenendo così l'accesso non autorizzato ai dati sensibili elaborati dai workflow.
Le conseguenze includono la modifica o distruzione della logica di automazione, l'esposizione di credenziali e segreti memorizzati nelle variabili d'ambiente, e potenzialmente il pivot verso l'infrastruttura circostante. Il rischio è particolarmente serio per deployment n8n multi-tenant o esposti a internet.
Superfici di attacco e vettori
⬆ Torna suLa vulnerabilità può essere sfruttata attraverso molteplici interfacce della piattaforma. Gli attacchi possono avvenire tramite l'interfaccia web, le API REST o workflow attivati da webhook. Qualsiasi punto in cui n8n valuta espressioni controllate dall'utente rappresenta una potenziale superficie di attacco.
Esempi documentati includono l'inserimento di payload malevoli nei campi "Value" dei nodi "Set" o "Code" durante la configurazione dei workflow. L'autenticazione è necessaria per lo sfruttamento, ma non sono richiesti privilegi elevati oltre alla creazione o modifica dei workflow.
Mitigazioni temporanee
⬆ Torna suPer ambienti dove l'aggiornamento immediato non è possibile, gli amministratori possono considerare misure temporanee. Limitare i permessi di creazione e modifica workflow esclusivamente a utenti fidati rappresenta una prima linea di difesa.
Un approccio complementare consiste nel deploy di n8n in ambienti hardened con privilegi di sistema operativo ridotti e accesso di rete limitato. Queste contromisure non eliminano completamente il rischio e dovrebbero essere considerate soluzioni a breve termine.
Rilevamento e verifica
⬆ Torna suSono disponibili script di testing per verificare la suscettibilità di un'istanza n8n alla vulnerabilità. Questi strumenti creano workflow di prova che tentano di accedere alle variabili d'ambiente o alle proprietà di sistema attraverso espressioni JavaScript.
Un test comune verifica la capacità di eseguire comandi di sistema attraverso il modulo child_process di Node.js. L'esposizione di informazioni sensibili come password di database o chiavi API conferma la presenza della vulnerabilità.
Stato attuale dello sfruttamento
⬆ Torna suAl momento della divulgazione, non sono stati segnalati proof-of-concept pubblici ampiamente diffusi né sfruttamenti confermati in ambienti reali. Tuttavia, la severità della vulnerabilità e la relativa facilità di sfruttamento la rendono ad alto rischio per le organizzazioni che utilizzano n8n in contesti critici.
La natura della piattaforma, spesso connessa a sistemi interni, API e servizi cloud, amplifica le potenziali conseguenze di un attacco riuscito. Il controllo completo di un'istanza n8n può fornire a un avversario un punto d'appoggio per movimenti laterali nell'infrastruttura.
Questo articolo è stato redatto esclusivamente sulla base delle fonti elencate, senza aggiunte speculative o informazioni esterne.
Fonti
⬆ Torna su- https://orca.security/resources/blog/cve-2025-68613-n8n-rce-vulnerability/
- https://nvd.nist.gov/vuln/detail/CVE-2025-68613
- https://blog.securelayer7.net/cve-2025-68613-n8n-rce-exploitation/
In breve
- n8n
- rce
- espressioni
- workflow