Allarme rosso per n8n: la vulnerabilità Ni8mare è il nuovo 'incubo' degli admin IT

La sicurezza delle infrastrutture di automazione è tornata prepotentemente al centro dell'attenzione degli addetti ai lavori a causa di una falla critica scoperta nella celebre piattaforma n8n. Gli esperti hanno individuato un vettore di attacco che potrebbe consentire a malintenzionati di prendere il controllo completo delle istanze non aggiornate, mettendo a rischio una vasta quantità di dati sensibili e processi aziendali automatizzati.

Ricordiamo che n8n si configura come una piattaforma di automazione del flusso di lavoro basata su nodi, apprezzata per la sua flessibilità e la natura fair-code che ne consente l'utilizzo gratuito in contesti specifici. Si tratta di uno strumento che permette a sviluppatori e team tecnici di collegare tra loro centinaia di applicazioni, database e servizi cloud attraverso un'interfaccia visiva, riducendo drasticamente la necessità di scrivere codice per compiti ripetitivi. La soluzione è particolarmente diffusa per la creazione di pipeline di dati, la gestione di API e l'orchestrazione di agenti basati sull'intelligenza artificiale, offrendo al contempo la possibilità di mantenere i dati sensibili all'interno della propria infrastruttura grazie alla modalità di distribuzione self-hosted.

La vulnerabilità nella piattaforma è stata scoperta da Cyera, è stata battezzata "Ni8mare" (un gioco di parole che ricorda n8n e la parola incubo in lingua inglese) ed è catalogata con il codice CVE-2026-21858. Il difetto risiede in una impropria validazione degli input che genera una confusione nella gestione dei tipi di contenuto. I ricercatori di Cyera hanno dimostrato come un attaccante remoto, senza alcuna autenticazione, possa sfruttare specifici flussi di lavoro per eseguire anche comandi arbitrari sul server ospite o esfiltrare credenziali critiche come token OAuth e chiavi API.

Si tratta di una situazione particolarmente delicata, dato che n8n funge spesso da collettore centrale per l'integrazione di servizi diversi Un'istanza compromessa potrebbe quindi diventare la porta d'ingresso ideale per movimenti laterali all'interno della rete aziendale. Le rilevazioni effettuate da Shadowserver mostrano che, nonostante la segnalazione risalga a novembre, circa 60 mila installazioni risultano ancora accessibili pubblicamente e prive delle necessarie correzioni per la vulnerabilità.

La distribuzione geografica di queste macchine vulnerabili vede una forte concentrazione negli Stati Uniti e in Europa, laddove per arginare la minaccia è fondamentale procedere all'aggiornamento alla versione 1.121.0 o successiva, poiché non esistono soluzioni alternative ufficiali se non la disabilitazione drastica degli endpoint esposti.