Scopri anche

• CVE-2025-68613: Vulnerabilità Critica RCE nella Piattaforma n8n
• Vulnerabilità CVE-2026-24061 in GNU InetUtils: bypass autenticazione root via Telnet
• Patch Tuesday gennaio 2026: Microsoft corregge 114 vulnerabilità tra cui zero-day già sfruttata
• SK Gaming ottimizza la produzione audio con LAMA Connect e NDI
• Cisco corregge vulnerabilità RCE zero-day nei prodotti Unified Communications
• Patch Tuesday gennaio 2026: Microsoft corregge 112 vulnerabilità, inclusa una zero-day già sfruttata
• ZombieAgent: la vulnerabilità ChatGPT che trasforma l'AI in uno strumento di spionaggio
• iOS 26.2: sicurezza rafforzata contro le vulnerabilità WebKit e nuove funzionalità
• AI nel 2026: l'Integrazione Profonda nei Workflow Aziendali
• RondoDox Botnet Sfrutta la Vulnerabilità React2Shell per Colpire Server Next.js
• Vulnerabilità critiche in Veeam Backup: aggiornamenti di sicurezza per prevenire RCE e attacchi ransomware
• Trend AI 2026: Dall'Integrated AI alle Agentic Platforms
• Vulnerabilità critiche nei firewall Fortinet e Palo Alto: oltre 10.000 dispositivi esposti
• L'evoluzione dell'IA agentica nel 2026: da sperimentazione a sistema operativo aziendale
• Apple iOS 26.2: Patch Urgente per Due Zero-Day in WebKit

Ni8mare: Vulnerabilità Critica CVE-2026-21858 Minaccia le Istanze n8n

Ni8mare: Vulnerabilità Critica CVE-2026-21858 Minaccia le Istanze n8n

Impatto su larga scala per la piattaforma di automazione

⬆ Torna su

Una vulnerabilità di massima severità, identificata come CVE-2026-21858 e soprannominata "Ni8mare", espone quasi 60.000 istanze n8n a potenziali attacchi remoti non autenticati. I ricercatori di Cyera hanno stimato che a livello globale siano oltre 100.000 i server vulnerabili.

n8n è una piattaforma di automazione del flusso di lavoro open source che consente agli utenti di connettere diverse applicazioni e servizi tramite connettori predefiniti e un'interfaccia visiva basata su nodi. L'obiettivo è automatizzare attività ripetitive senza necessità di scrivere codice.

Secondo i dati forniti dal gruppo Shadowserver, sono state rilevate 105.753 istanze non patchate esposte online, con 59.558 ancora accessibili alla data di domenica. Oltre 28.000 indirizzi IP si trovano negli Stati Uniti e più di 21.000 in Europa.

Meccanismo di sfruttamento della vulnerabilità

⬆ Torna su

La vulnerabilità Ni8mare si origina da un'improper input validation weakness che permette a utenti remoti non autenticati di assumere il controllo di istanze n8n distribuite localmente. L'accesso avviene tramite l'acquisizione di file sul server sottostante.

Il team di n8n ha specificato che un'istanza è potenzialmente vulnerabile se possiede un workflow attivo con un trigger di Form Submission che accetta un elemento file, e un nodo Form Ending che restituisce un file binario.

Cyera ha scoperto che il problema risiede in una confusione del content-type nel modo in cui n8n analizza i dati. Quando una richiesta webhook è contrassegnata come multipart/form-data, n8n la tratta come un caricamento di file e utilizza un parser di upload speciale che salva i file in posizioni temporanee generate casualmente.

Bypass del parser di upload

⬆ Torna su

I ricercatori hanno identificato che impostando un content-type differente, come application/json, un attaccante può bypassare il parser di upload. In questo scenario, n8n continua a elaborare i campi relativi ai file senza verificare che la richiesta contenga effettivamente un caricamento valido.

Ciò conferisce all'attaccante il controllo completo sui metadati del file, incluso il percorso del file. "Poiché questa funzione viene chiamata senza verificare che il content-type sia multipart/form-data, controlliamo l'intero oggetto req.body.files", spiega Cyera. "Questo significa che controlliamo il parametro filepath, quindi invece di copiare un file caricato, possiamo copiare qualsiasi file locale dal sistema."

Questa tecnica consente la lettura di file arbitrari da un'istanza n8n, potenzialmente esponendo segreti aggiungendo file interni nella knowledge base del workflow.

n8n come hub di automazione critico

⬆ Torna su

La piattaforma n8n funge spesso da hub centrale di automazione, custodendo chiavi API, token OAuth, credenziali di database, accesso allo storage cloud, segreti CI/CD e dati aziendali. Questa concentrazione di informazioni sensibili la rende un bersaglio appetibile per threat actor.

n8n registra oltre 100 milioni di pull su Docker Hub e più di 50.000 download settimanali su npm. È ampiamente utilizzato nello sviluppo di AI per automatizzare l'ingestione dei dati e costruire agenti AI e pipeline RAG.

Raccomandazioni per la mitigazione

⬆ Torna su

Per bloccare potenziali attacchi, gli amministratori sono invitati ad aggiornare le proprie istanze n8n alla versione 1.121.0 o successive il prima possibile. Gli sviluppatori di n8n dichiarano che non è disponibile una soluzione alternativa ufficiale per Ni8mare.

Gli amministratori che non possono effettuare immediatamente l'aggiornamento potrebbero mitigare gli attacchi limitando o disabilitando gli endpoint webhook e form pubblicamente accessibili. Il team di n8n mette anche a disposizione un template di workflow per scansionare le istanze alla ricerca di workflow potenzialmente vulnerabili.

Cyera ha segnalato la vulnerabilità a n8n il 9 novembre 2025. Il punteggio di severità CVSS assegnato alla vulnerabilità è 10 su 10.

Questo articolo è stato redatto esclusivamente sulla base delle fonti elencate, senza aggiunte speculative o informazioni esterne.

Fonti

⬆ Torna su

• https://www.bleepingcomputer.com/news/security/max-severity-ni8mare-flaw-impacts-nearly-60-000-n8n-instances/
• https://www.bleepingcomputer.com/news/security/max-severity-ni8mare-flaw-lets-hackers-hijack-n8n-servers/
• https://www.cyera.com/research-labs/ni8mare-unauthenticated-remote-code-execution-in-n8n-cve-2026-21858