Lunedi 06 Luglio 2026 02:13:41 GMT+02:00

Netcrook

HomeManifesto
News
Techcrook
Geocrook
WikicrookTeamAppContatti
ItalianoEnglishArabic

Vulnerabilities & Patch Management

Incubo dell’automazione: il bug “Ni8mare” apre i server n8n a un dirottamento totale

Pubblicato: 09 Gennaio 2026 07:30Categoria: Vulnerabilities & Patch ManagementAutore: SECPULSE

Una falla critica permette agli hacker di prendere il controllo dei server di workflow n8n-senza bisogno di login.

Immagina di svegliarti e scoprire che il cuore digitale della tua azienda-il tuo server di automazione-è stato rubato durante la notte. È la gelida realtà che affrontano migliaia di organizzazioni dopo la divulgazione di “Ni8mare”, una vulnerabilità devastante in n8n, lo strumento di automazione che collega silenziosamente tra loro le operazioni più sensibili di un’azienda. Mentre circolano exploit proof-of-concept e gli attaccanti se ne accorgono, i team di sicurezza si affannano per correggere una falla che potrebbe consegnare le chiavi dell’intero regno.

L’anatomia di una presa di controllo

Al centro della crisi Ni8mare c’è un bug di “Content-Type Confusion”. n8n, amato per la sua capacità di automatizzare i workflow aziendali, non è riuscito a verificare correttamente se i dati dei form in ingresso fossero effettivamente inviati come multipart/form-data. Questa svista apparentemente piccola spalanca una porta enorme agli attaccanti.

Creando una richiesta malevola verso un endpoint webhook o form, un attaccante può ingannare n8n inducendolo a leggere qualsiasi file a cui il processo del server possa accedere. Il vero pericolo? Il database SQLite e le chiavi di cifratura usate per firmare i cookie di sessione sono a portata di mano. Con questi, un hacker può falsificare un cookie da amministratore e intrufolarsi-senza password.

Una volta dentro, l’attaccante può usare la stessa funzionalità “Execute Command” di n8n per eseguire codice arbitrario, prendendo il controllo del server e, potenzialmente, dei workflow sensibili e delle credenziali a cui è collegato. Poiché n8n spesso funge da hub per API, database e strumenti interni, una violazione può propagarsi a cascata nell’intera infrastruttura digitale di un’organizzazione.

Chi è a rischio-e cosa fare

La vulnerabilità minaccia principalmente i server n8n self-hosted-popolari tra le aziende più esperte che cercano controllo e personalizzazione. Il servizio cloud gestito di n8n è già stato corretto, ma chiunque gestisca un proprio server è invitato a lasciare tutto e aggiornare alla versione 1.121.0 o successiva.

Non esiste una soluzione alternativa ufficiale, ma gli esperti raccomandano di bloccare immediatamente l’accesso di rete, disabilitare gli endpoint pubblici e distribuire un web application firewall. Fondamentale: se la tua istanza potrebbe essere stata esposta, ruota tutti i segreti e controlla i log alla ricerca di esecuzioni di comandi sospette.

Non è il primo campanello d’allarme sulla sicurezza per n8n, ma Ni8mare alza l’asticella dell’urgenza. Man mano che i livelli di automazione diventano i centri nevralgici del business, gli attaccanti vanno a caccia di qualsiasi falla che permetta loro di prendere il controllo. Per gli utenti n8n, il messaggio è chiaro: applica la patch ora-oppure rischia di diventare il prossimo caso da manuale.

WIKICROOK

  • Esecuzione di codice da remoto (RCE): L’esecuzione di codice da remoto (RCE) si verifica quando un attaccante esegue il proprio codice sul sistema della vittima, spesso arrivando al controllo completo o alla compromissione di quel sistema.
  • Contenuto: In cybersecurity, il contenuto si riferisce ai dati all’interno di file o comunicazioni, come testo o immagini, che possono essere presi di mira da minacce o richiedere protezione.
  • CVSS: CVSS (Common Vulnerability Scoring System) è un metodo standard per valutare la gravità delle falle di sicurezza, con punteggi da 0,0 a 10,0.
  • Cookie di sessione: Un cookie di sessione è un file temporaneo nel browser che ti mantiene connesso a un sito; se rubato, può consentire ad altri di accedere al tuo account.
  • Webhook: Un webhook è un modo con cui un software invia istantaneamente dati o avvisi all’indirizzo web di un’altra applicazione quando si verificano eventi specifici.