CSIRT Toscana Rilevate vulnerabilità in n8n (AL01/251223/CSIRT-ITA)
Data:
7 Gennaio 2026
Impatto Sistemico
Critico (75.38)
Sintesi
Il team di sviluppo n8n-io ha rilasciato aggiornamenti di sicurezza per risolvere due vulnerabilità con gravità “critica” che interessano la piattaforma open source per l’automazione dei workflow n8n. Tali vulnerabilità potrebbero permettere ad un utente malintenzionato di eseguire codice arbitrario con i privilegi del processo n8n.
Tipologia
- Remote Code Execution
- Data Manipulation
Prodotti e/o versioni affette
n8n
- dalla 0.211.0 fino alla 1.120.4 esclusa
- dalla 0.211.0 fino alla 1.121.1 esclusa
- dalla 0.211.0 fino alla 1.122.0 esclusa
- dalla 1.0.0 fino alla 2.0.0 esclusa
Azioni di mitigazione
In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni dei bollettini di sicurezza riportati nella sezione Riferimenti.
Riferimenti
- https://github.com/n8n-io/n8n/security/advisories/GHSA-v98v-ff95-f3cp
- https://github.com/n8n-io/n8n/commit/08f332015153decdda3c37ad4fcb9f7ba13a7c79
- https://github.com/n8n-io/n8n/commit/1c933358acef527ff61466e53268b41a04be1000
- https://github.com/n8n-io/n8n/commit/39a2d1d60edde89674ca96dcbb3eb076ffff6316
- https://github.com/n8n-io/n8n/security/advisories/GHSA-62r4-hw23-cc8v
- https://www.smartkeyss.com/post/cve-2025-68668-breaking-out-of-the-python-sandbox-in-n8n
CVE
| CVE-ID | |
|---|---|
| CVE-2025-68613 | CVE-2025-68668 |
Change log
| Versione | Note | Data |
|---|---|---|
| 1.0 | Pubblicato il 23-12-2025 | 23/12/2025 |
| 1.1 | Aggiornamento PoC | 23/12/2025 |
| 2.0 | Aggiornate CVE, prodotti affetti e riferimenti | 07/01/2026 |
Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità. Può essere visualizzato in versione originale al seguente link
Ultimo aggiornamento
7 Gennaio 2026, 16:00