Impatto Sistemico

Alto (70.0)

Sintesi

Disponibile un Proof of Concept (PoC) per lo sfruttamento della CVE-2026-42231 – già sanata dal vendor – presente in n8n, piattaforma open‑source di workflow automation che consente di integrare applicazioni, servizi e API tramite flussi visuali.

Tipologia

• Remote Code Execution

Prodotti e/o versioni affette

n8n

• versioni precedenti alla 1.123.32
• 2.x.x, versioni precedenti alla 2.17.4
• 2.18.x, versioni precedenti alla 2.18.1

Descrizione e potenziali impatti

Disponibile un Proof of Concept (PoC) per lo sfruttamento della CVE-2026-42231 – già sanata dal vendor – presente in n8n, piattaforma open‑source di workflow automation che consente di integrare applicazioni, servizi e API tramite flussi visuali.

Tale vulnerabilità – di tipo “Prototype Pollution” e con score CVSS v3.1 pari a 8.8 – è dovuta a una gestione non sicura dell’input XML nel webhook handler di n8n: il sistema utilizza la libreria xml2js per convertire i body XML delle richieste HTTP in oggetti JavaScript, ma la configurazione del parser non applica alcuna sanitizzazione ai nomi di tag e agli attributi pericolosi. Un attaccante remoto autenticato, in grado di creare o modificare workflow, potrebbe sfruttare tale vulnerabilità, indirizzando al webhook una richiesta POST opportunamente predisposta, al fine di inquinare il prototipo degli oggetti JavaScript dell’applicazione (Prototype Pollution) e, concatenando tale condizione con specifiche funzionalità applicative (nodo Git configurato per operazioni SSH), ottenere l’esecuzione di codice arbitrario sul sistema che ospita l’istanza n8n.

Azioni di mitigazione

Ove non provveduto, si raccomanda di aggiornare tempestivamente le release vulnerabili seguendo le indicazioni del bollettino di sicurezza riportato nella sezione Riferimenti.