Ormai l’intelligenza artificiale è entrata a far parte della nostra vita, che lo volessimo o meno. Ciò è particolarmente evidente in ambito lavorativo, in cui gli strumenti di automazione basati su IA sono quasi la normalità, come n8n. Quest’ultimo è diventato uno dei più adottati in ambito aziendale e DevOps. La sua diffusione è stata spinta dalla necessità di gestire e controllare workflow complessi, integrare servizi eterogenei e automatizzare processi critici.
Tuttavia, questo suo ruolo così centrale, lo ha reso un bersaglio molto appetibile da parte dei cybercriminali, sempre dediti alla ricerca di nuovi meotodi per impadronirsi di dati, credenziali e flussi di lavoro strategici.
L’occasione si è presentata nei primi giorni di questo 2026, in cui una vulnerabilità critica è emersa in n8n: CVE-2026-21858. Ribattezzata Ni8mare, si tratta di una vulnerabilità da incubo, in quanto consente l’esecuzione di codice remoto senza autenticazione. In altre parole, stiamo parlando di un singolo entry point, che trasforma una piattaforma pensata per automatizzare i processi produttivi in modo sicuro in un vettore di compromissione totale.
Ma come sempre, andiamo con ordine e affrontiamo per gradi l’argomento.
Cos’è Ni8mare
Ni8mare è il nome attribuito a CVE-2026-21858, una vulnerabilità critica di tipo RCE (Remote Code Execution) intrinseca alla piattaforma n8n. In particolare, questa colpisce le versioni dalla 1.65.0 alla 1.120.0. Classificata con un punteggio di 10 su 10 sulla scala CVSS (Common Vulnerability Scoring System), si evince che si tratta di una vulnerabilità critica. Le ragioni dietro il punteggio massimo è legato alla sua natura stessa, in quanto un attaccante remoto può compromettere completamente un’istanza esposta semplicemente inviando richieste appositamente costruite.
Ni8mare nasce da una gestione errata dei dati in ingresso, in particolare nel modo in cui n8n elabora alcuni parametri legati ai webhook e al parsing dei contenuti. Attraverso una manipolazione mirata, è possibile forzare l’applicazione a interpretare input controllati dall’attaccante come dati legittimi, aggirando i controlli di sicurezza previsti. Questo comportamento spalanca le porte alla lettura e alla scrittura arbitraria di file sul server.
Il nome scelto per identificare CVE-2026-21858 non è nemmeno casuale, poiché si tratta di un vero e proprio incubo per chi ne subisce le conseguenze. n8n viene utilizzato come nodo centrale per l’automazione di processi aziendali, con accesso a API, database e servizi cloud. Una sua compromissione non si limita all’applicazione, ma ha effetti a catena sull’intera infrastruttura.
Come funziona Ni8mare
Per comprendere appieno il funzionamento di Ni8mare e l’impatto derivante dal suo sfruttamento, procederemo a spiegarlo attraverso una simulazione di attacco a scopo puramente illustrativo.
Individuazione dell’istanza vulnerabile
La prima fase consiste nell’identificazione di un’istanza n8n esposta pubblicamente. Un attaccante non necessita di credenziali né di accessi preliminari, ma gli basta individuare un endpoint raggiungibile dall’esterno. In molti ambienti, n8n viene infatti esposto su Internet per consentire l’esecuzione automatica dei workflow, rendendo i webhook un punto di ingresso naturale per l’applicazione.
Invio di una richiesta costruita appositamente
Una volta individuato l’endpoint, l’attaccante invia una richiesta che sfrutta la logica difettosa di parsing dei contenuti. La richiesta non contiene codice malevolo evidente, ma dati progettati per essere interpretati in modo errato dall’applicazione. In questa fase non avviene alcuna forzatura diretta, perché il comportamento anomalo nasce dal modo in cui n8n gestisce internamente input che non vengono correttamente validati.
Esecuzione di codice remoto non autorizzato
A causa della vulnerabilità, n8n finisce per trattare i dati ricevuti come legittimi, consentendo operazioni che normalmente non sarebbero permesse. Ciò si traduce nella possibilità di leggere o scrivere file sul server, alterare il comportamento dei workflow e interagire con componenti interni dell’istanza. L’attaccante è così libero di effettuare una privilege escalation all’interno dell’ambiente, senza mai autenticarsi.
Compromissione della piattaforma e dei workflow
Una volta compromessa l’istanza n8n, l’impatto si estende ben oltre l’applicazione stessa. I workflow automatizzati spesso contengono credenziali, token API e riferimenti a servizi esterni critici. L’accesso a questi elementi consente all’attaccante di muoversi lateralmente, accedere a sistemi terzi e compromettere l’intera catena di automazione su cui l’organizzazione fa affidamento.
Come proteggersu da Ni8mare
In base a quanto discusso finora, si evince che Ni8mare non è una semplice vulnerabilità
- Aggiornare immediatamente n8n almeno alla versione 1.121.0.
La vulnerabilità CVE-2026-21858 è stata corretta ufficialmente dagli sviluppatori con il rilascio della versione 1.121.0. Qualsiasi istanza che esegue versioni precedenti resta esposta a una compromissione completa senza autenticazione. - Limitare l’esposizione pubblica delle istante n8n.
La piattaforma non deve essere accessibile indiscriminatamente da Internet. Quando possibile, l’accesso deve essere ristretto tramite firewall, VPN o IP allowlist, riducendo drasticamente la superficie d’attacco. - Proteggere e isolare i webhook.
I webhook sono il principale entry point sfruttabile.
Per questo, è fondamentale limitarne l’uso, validare rigorosamente i dati in ingresso e separare i webhook pubblici dai workflow che gestiscono processi critici. - Segmentare l’infrastruttura di rete.
L’istanza di n8n non deve avere accesso diretto e illimitato ad altri sistemi interni. Una corretta segmentazione di rete impedisce che una compromissione dell’automazione si trasformi in un movimento laterale verso database, servizi cloud o ambienti di produzione. - Ridurre i privilegi dei workflow.
I workflow devono operare secondo il principio del minimo privilegio. Token API, credenziali e chiavi devono avere permessi limitati e ruotati periodicamente, per contenere i danni in caso di compromissione. - Monitorare comportamenti anomali.
Si devono implementare sistemi di logging e alerting sulle attività di n8n, in particolare su esecuzioni inattese, modifiche ai workflow e accessi anomali ai file. Un exploit RCE quasi sempre tracce operative rilevabili.
In conclusione
Ni8mare dimostra che anche strumenti pensati per semplificare e accelerare i processi possono trasformarsi in entry point critici, se non adeguatamente protetti. Una vulnerabilità di tipo RCE come questa evidenzia che il confine tra automazione e rischio è sempre più labile, specialmente se piattaforme come n8n sono il cuore operativo dei flussi aziendali.
Sottovalutare la protezione di tali strumenti, significa esporre dati, credenziali e infrastrutture a compromissioni potenzialmente devastanti. Viviamo in un periodo storico in cui le vulnerabilità emergono di pari passo alle innovazioni che vengono introdotte. La differenza tra prevenzione e reazione può determinare la sopravvivenza stessa dei sistemi digitali.
- Autore articolo
- Gli ultimi articoli
Classe 1993, ingegnere gestionale e Adobe Certified Professional in Graphic Design & Visual Design. Ho mosso i primi passi nel campo informatico grazie alla passione per i videogiochi, che mi ha portato ad approfondire i motori grafici e la progettazione visiva. Scrivo da quando ero bambino e, con il tempo, la scrittura è diventata parte integrante del mio lavoro nel mondo della comunicazione e della sicurezza informatica.