Impatto Sistemico

Critico (79.48)

Sintesi

Disponibile un Proof of Concept (PoC) per lo sfruttamento della CVE-2026-21858 – già sanata dal vendor e nota come “Ni8mare” – presente in n8n, piattaforma open‑source di workflow automation che consente di integrare applicazioni, servizi e API tramite flussi visuali.

Tipologia

• Remote Code Execution
• Information Disclosure

Prodotti e/o versioni affette

• n8n, versioni dalla 1.65.0 alla 1.121.0 (esclusa)

Descrizione e potenziali impatti

Disponibile un Proof of Concept (PoC) per lo sfruttamento della CVE-2026-21858 – già sanata dal vendor e nota come “Ni8mare” – presente in n8n, piattaforma open‑source di workflow automation che consente di integrare applicazioni, servizi e API tramite flussi visuali.

Tale vulnerabilità – di tipo “Unauthenticated Arbitrary File Access” e con score CVSS v3.x pari a 10 – è dovuta a una gestione non sicura di determinati workflow basati su form all’interno di n8n, che possono consentire l’accesso a file del server sottostante durante la loro esecuzione. Un attaccante remoto non autenticato, in grado di attivare l’esecuzione di un workflow vulnerabile, potrebbe sfruttare tale vulnerabilità per accedere a file del sistema, con potenziale esposizione di informazioni sensibili e, in funzione della configurazione e dell’utilizzo dei workflow, per abilitarne un’ulteriore compromissione.

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni del bollettino di sicurezza riportato nella sezione Riferimenti.