TRASPARENZA: Questo articolo contiene link di affiliazione. Se acquisti tramite questi link potremmo ricevere una piccola commissione senza costi aggiuntivi per te. Questo ci aiuta a mantenere il sito gratuito e indipendente. Le nostre opinioni rimangono imparziali.

n8n, la piattaforma open source per automatizzare flussi di lavoro, ha rilasciato aggiornamenti urgenti per correggere quattro vulnerabilità critiche, tutte con punteggio CVSS superiore a 9. Chi gestisce un’istanza propria, su un VPS o su un server dedicato, dovrebbe aggiornare senza aspettare.

// affiliato ▸ Webdock · VPS ultra-veloci scontate del 20% · Vedi i piani →

Le due falle più gravi riguardano l’esecuzione di codice remoto. La prima, CVE-2026-27577, è un problema nel compilatore di espressioni: un caso non gestito nel rielaboratore AST (il componente che analizza e trasforma il codice prima di eseguirlo) permette a un utente autenticato con permessi di modifica dei workflow di far girare comandi arbitrari sul server. La seconda, CVE-2026-27493, è più insidiosa perché non richiede autenticazione: sfrutta i nodi Form di n8n, che per design sono pubblici, per iniettare espressioni malevole. Basta inserire un payload nel campo “Nome” di un modulo di contatto per eseguire comandi shell sul server. Usate insieme, le due vulnerabilità si amplificano a vicenda.

Il ricercatore Eilon Cohen di Pillar Security, che ha scoperto e segnalato i problemi, ha dimostrato che un attaccante potrebbe sfruttarle per leggere la variabile d’ambiente N8N_ENCRYPTION_KEY e usarla per decifrare tutte le credenziali salvate nel database di n8n: chiavi AWS, password di database, token OAuth, chiavi API.

Le altre due CVE, numerate 27495 e 27497, riguardano rispettivamente un’evasione dalla sandbox del JavaScript Task Runner e un’iniezione di codice tramite la modalità SQL query del nodo Merge. Anche queste permettono esecuzione di codice arbitrario e scrittura di file sul server.

Le versioni corrette sono la 2.10.1, la 2.9.3 e la 1.123.22. Se non puoi aggiornare subito, n8n consiglia di limitare i permessi di creazione e modifica dei workflow agli utenti di cui ti fidi completamente, e di disabilitare i nodi coinvolti tramite la variabile d’ambiente NODES_EXCLUDE. Gli stessi maintainer però avvertono che queste contromisure non eliminano il rischio e vanno considerate solo temporanee.

Se la tua istanza n8n gira su un VPS, vale la pena assicurarsi che l’ambiente sia configurato con privilegi minimi a livello di sistema operativo e accesso di rete limitato. Chi cerca un hosting affidabile per questo tipo di servizi può valutare Hetzner o Webdock, entrambi adatti a chi gestisce applicazioni self-hosted con un minimo di attenzione alla sicurezza.

Non risultano sfruttamenti attivi di queste vulnerabilità, ma la disponibilità pubblica dei dettagli tecnici rende l’aggiornamento urgente.