n8n sotto attacco: CVE-2026-21858 (CVSS 10) permette controllo totale e RCE via webhook senza login

News
Visite: 176

Una vulnerabilita critica in n8n, piattaforma molto usata per la workflow automation, sta attirando grande attenzione nel mondo della cybersecurity perche consente a un attaccante remoto non autenticato di ottenere il controllo completo di istanze vulnerabili. Il problema e tracciato come CVE 2026 21858 e ha punteggio CVSS 10.0, quindi massima gravita. Il rischio principale non riguarda solo il server che ospita n8n, ma anche tutto cio che n8n centralizza e gestisce, come credenziali API, token OAuth, connessioni a database e accessi a servizi cloud.

Meccanismo di attacco

Il meccanismo di attacco sfrutta una confusione sul Content Type nelle richieste HTTP che colpisce in particolare webhook e flussi basati su form. In n8n le richieste in ingresso vengono analizzate in base all header Content Type: se e multipart form data entra in gioco il parser per upload file, altrimenti viene usato un parser standard. Il punto debole nasce quando una funzione di gestione file viene invocata senza verificare correttamente che la richiesta sia davvero multipart form data. In questo scenario l attaccante puo controllare la struttura dei dati che descrive i file e manipolare il percorso del file sorgente, trasformando un normale copia file in una lettura arbitraria di file locali presenti sul sistema.

Catena di compromissione

Da qui la catena di compromissione puo diventare molto pericolosa. Un esempio pratico prevede la lettura del database sqlite di n8n per recuperare dati amministrativi, poi la lettura del file di configurazione per estrarre la chiave segreta usata per cifrare o firmare elementi sensibili. Con queste informazioni un aggressore puo falsificare una sessione e bypassare l autenticazione ottenendo accesso admin. A quel punto e possibile arrivare alla remote code execution creando un nuovo workflow che esegue comandi sul sistema tramite un nodo dedicato, con conseguente compromissione totale dell istanza.

Versioni impattate e mitigazioni

La vulnerabilita impatta le versioni di n8n fino alla 1.65.0 inclusa ed e stata corretta nella 1.121.0. Per ridurre il rischio e fondamentale aggiornare subito a una versione corretta o successiva, evitare di esporre n8n direttamente su Internet e imporre autenticazione per form e webhook pubblici. Come mitigazione temporanea, puo essere utile limitare o disabilitare endpoint pubblicamente accessibili legati a webhook e form.

Pin It
, , , , ,

Cyber Security UP

CybersecurityUP is a BU of Fata Informatica.
Since 1994, we have been providing IT security services to large civil and military organizations.
  • Ethical Hacking
  • Red Teaming
  • Penetration Testing
  • Security Code Review
  • SOC 24x7
  • Specialized Training
Image
Image
Image
Via Tiburtina 912,
CAP 00156,
ROMA

Monday-Friday
09:00 - 13:00
14:00 - 18:00

+39 06 4080 0490
amministrazione@fatainformatica.com

Contact us

Do you need our cybersecurity services?

Privacy policy

We invite you to read our
privacy policy for the protection of your personal data.
Disclaimer
Some of the photos on Cybersecurityup.it may have been taken from the Internet and therefore considered to be in the public domain. If the subjects or authors have any objections to their publication, they can report this by email to the editorial staff, who will promptly remove the images used.
© 2026 Fata Informatica. All rights reserved.