Cinque CVE critiche in tre mesi. Un CVSS perfetto di 10.0. Un exploit pubblico su GitHub. E 24.700 istanze esposte su internet, di cui 477 in Italia. n8n — lo strumento di automazione preferito dagli homelabber — è diventato il bersaglio più comodo per chi attacca infrastrutture self-hosted. Il sandbox delle espressioni è stato bucato almeno quattro volte da dicembre 2025. A un certo punto bisogna chiedersi se il problema sia nei singoli bug o nell’architettura stessa.
La timeline dell’orrore: cinque CVE critiche in 90 giorni
Ricostruiamo la sequenza. A dicembre 2025 n8n vale 2,5 miliardi di dollari dopo una Serie C da 180 milioni, ha 230.000 utenti attivi e oltre 400 integrazioni native (più 600+ nodi community). Tre mesi dopo, il suo modello di sicurezza è in frantumi.
- Dicembre 2025 — CVE-2025-68613 (CVSS 9.9): expression injection che consente esecuzione remota di codice. Richiede autenticazione, ma una volta dentro il gioco è finito. Scoperta da Fatih Celik, patch in v1.120.4 e v1.121.1
- Novembre 2025 (disclosure gennaio 2026) — CVE-2026-21858 "Ni8mare" (CVSS 10.0): RCE non autenticata via Content-Type confusion nei webhook. Basta una singola richiesta HTTP per possedere il server. Scoperta da Dor Attias di Cyera Research, patch in v1.121.0. Versioni vulnerabili: dalla 1.65 alla 1.120.4
- Febbraio 2026 — CVE-2026-25049 (CVSS 9.4): bypass della patch di CVE-2025-68613. Il fix di dicembre? Aggirato con un sandbox escape. Lo stesso ricercatore, Fatih Celik, l’ha definita "la stessa vulnerabilità — la seconda è solo un bypass del fix iniziale". Patch in v1.123.17 e v2.5.2
- Febbraio 2026 — CVE-2026-27493 (CVSS 9.5) + CVE-2026-27577 (CVSS 9.4): double-evaluation nel Form node e sandbox escape nel compilatore di espressioni. Scoperte da Eilon Cohen di Pillar Security. Zero-click, non autenticata, via moduli pubblici. Patch in v2.10.1, v2.9.3, v1.123.22
- Febbraio 2026 — Advisory ACN (AL02/260226/CSIRT-ITA): 7 CVE nel batch, di cui 6 critiche, incluse SQL injection nel Merge node (CVE-2026-27497, CVSS 9.4) e sandbox escape nel Task Runner JS (CVE-2026-27495, CVSS 9.4)