Cinque CVE critiche in tre mesi. Un CVSS perfetto di 10.0. Un exploit pubblico su GitHub. E 24.700 istanze esposte su internet, di cui 477 in Italia. n8n — lo strumento di automazione preferito dagli homelabber — è diventato il bersaglio più comodo per chi attacca infrastrutture self-hosted. Il sandbox delle espressioni è stato bucato almeno quattro volte da dicembre 2025. A un certo punto bisogna chiedersi se il problema sia nei singoli bug o nell’architettura stessa.
CISA ha inserito le vulnerabilità n8n nel catalogo Known Exploited Vulnerabilities l’11 marzo 2026
La timeline dell’orrore: cinque CVE critiche in 90 giorni
Ricostruiamo la sequenza. A dicembre 2025 n8n vale 2,5 miliardi di dollari dopo una Serie C da 180 milioni, ha 230.000 utenti attivi e oltre 400 integrazioni native (più 600+ nodi community). Tre mesi dopo, il suo modello di sicurezza è in frantumi.
Dicembre 2025 — CVE-2025-68613 (CVSS 9.9): expression injection che consente esecuzione remota di codice. Richiede autenticazione, ma una volta dentro il gioco è finito. Scoperta da Fatih Celik, patch in v1.120.4 e v1.121.1
Novembre 2025 (disclosure gennaio 2026) — CVE-2026-21858 "Ni8mare" (CVSS 10.0): RCE non autenticata via Content-Type confusion nei webhook. Basta una singola richiesta HTTP per possedere il server. Scoperta da Dor Attias di Cyera Research, patch in v1.121.0. Versioni vulnerabili: dalla 1.65 alla 1.120.4
Febbraio 2026 — CVE-2026-25049 (CVSS 9.4): bypass della patch di CVE-2025-68613. Il fix di dicembre? Aggirato con un sandbox escape. Lo stesso ricercatore, Fatih Celik, l’ha definita "la stessa vulnerabilità — la seconda è solo un bypass del fix iniziale". Patch in v1.123.17 e v2.5.2
Febbraio 2026 — CVE-2026-27493 (CVSS 9.5) + CVE-2026-27577 (CVSS 9.4): double-evaluation nel Form node e sandbox escape nel compilatore di espressioni. Scoperte da Eilon Cohen di Pillar Security. Zero-click, non autenticata, via moduli pubblici. Patch in v2.10.1, v2.9.3, v1.123.22
Febbraio 2026 — Advisory ACN (AL02/260226/CSIRT-ITA): 7 CVE nel batch, di cui 6 critiche, incluse SQL injection nel Merge node (CVE-2026-27497, CVSS 9.4) e sandbox escape nel Task Runner JS (CVE-2026-27495, CVSS 9.4)
Iscriviti alla newsletter per ricevere i migliori articoli direttamente nella tua inbox.
Vulnerabilità plugin WordPress 2026: patch o aspetti lo 0day?
900k siti WordPress esposti a RCE critico, 500k a file read su wp-config.php. Se ospiti WordPress in homelab o su VPS, ecco cosa fare nei prossimi 30 minuti.
Se la tua istanza n8n è raggiungibile da internet ed è precedente alla v2.10.1, il post-exploitation è banale: l’attaccante legge la chiave di cifratura dal filesystem e decripta ogni credenziale nel database — chiavi AWS, password, token OAuth, chiavi API di ogni servizio collegato. L’intera catena di automazione diventa un vettore di attacco laterale.
I numeri dell’esposizione
I dati Shadowserver fotografano una situazione seria: 24.700 istanze n8n non patchate esposte pubblicamente, di cui 12.300 in Nord America e 7.800 in Europa. In Italia, secondo Censys, le istanze esposte sono 477 — un numero che può sembrare piccolo finché non consideri cosa contiene ciascuna. Una singola istanza n8n ha tipicamente accesso a sistemi interni, credenziali privilegiate e la capacità di innescare azioni su più ambienti. Non è un web server statico: è un orchestratore con le chiavi di tutto. Pillar Security stima 50.000 endpoint potenzialmente vulnerabili per la sola CVE-2026-27493. Matricedigitale.it ha raggruppato n8n nella stessa categoria di rischio di FortiGate e Cisco — infrastruttura critica aziendale. Perché a tutti gli effetti lo è diventato.
CISA ha ordinato alle agenzie federali USA di patchare entro il 25 marzo 2026.
GreyNoise ha tracciato 33.270 richieste di scanning sui webhook n8n tra il 27 gennaio e il 3 febbraio 2026, provenienti da AS211590 in Francia con user agent n8n-scanner/1.0 e infrastruttura Kubernetes + Envoy. Qualcuno stava facendo ricognizione su scala industriale. Però va detto — e qui io stesso ho dovuto rivedere la mia prima impressione — che Horizon3.ai ha ridimensionato il panico: delle 70.000+ istanze analizzate, solo 76 avevano una configurazione effettivamente vulnerabile a Ni8mare. Il numero di istanze esposte non coincide con il numero di istanze sfruttabili. Una distinzione che conta.
Zero-click via modulo pubblico: la CVE più inquietante
CVE-2026-27493 merita un discorso a parte perché cambia la superficie di attacco. Le CVE precedenti richiedevano accesso al pannello o ai webhook. Questa no. Come l’ha descritta Eilon Cohen di Pillar Security: "Un semplice modulo ‘Contattaci’ eseguirà comandi Shell arbitrari se digiti un payload nel campo Nome." Il meccanismo è un double-evaluation bug nel Form node: l’input utente viene processato due volte dal motore di espressioni, permettendo injection nel secondo passaggio. Il parallelo con la vulnerabilità zero-click di Excel Copilot che abbiamo analizzato la scorsa settimana è inquietante — input che diventa esecuzione, senza alcuna interazione della vittima.
"L’attacco non richiede nulla di speciale. Se puoi creare un workflow, possiedi il server." — Eilon Cohen, Pillar Security
bash
# Verifica la tua versione
docker exec n8n n8n --version
# Aggiorna a v2.10.1+ (Docker)
docker pull n8nio/n8n:latest
docker stop n8n && docker rm n8n
docker run -d --name n8n -p 5678:5678 \
-v n8n_data:/home/node/.n8n \
n8nio/n8n:latest
# Disabilita Form Trigger (se non lo usi)
# Settings > Workflow > disattiva "Form Trigger" node
# Ruota TUTTE le credenziali dopo l'aggiornamento
# Dashboard > Credentials > ogni singola credenziale
Cosa significa per il tuo homelab
n8n è il tool di automazione homelab: oltre 100 milioni di Docker pull, integrazione nativa con Home Assistant, Proxmox, Nextcloud, e praticamente ogni servizio che un homelabber possa voler automatizzare. Il problema è che l’istanza tipica contiene di tutto — credenziali NAS, API cloud, token domotica, chiavi SSH, webhook di deploy. Io stesso ho un workflow n8n che orchestra il deploy di questo blog via webhook Forgejo. Comprometterlo significherebbe accesso diretto al server di produzione.
Il pattern che vedo nella community italiana è preoccupante: n8n installato su Proxmox, esposto via reverse proxy, senza autenticazione aggiuntiva. Funziona, è comodo, ed è esattamente la configurazione che queste CVE trasformano in un invito a entrare.
Cosa non sappiamo
CISA conferma "sfruttamento attivo" ma non quantifica le vittime. Non sappiamo quante istanze siano state effettivamente compromesse, chi stia sfruttando CVE-2025-68613 (lo scanning francese è tracciato, l’attribuzione finale no), quale sia l’impatto reale su n8n Cloud (patchato, ma senza audit indipendenti pubblici) e — dato cruciale per le 477 istanze italiane — quali siano le responsabilità legali sotto GDPR e NIS2 per chi non ha patchato. L’ACN ha pubblicato l’advisory, le raccomandazioni sono chiare (aggiornamento, segmentazione rete, verifica log), ma il tasso di patching reale resta un’incognita.
Nessuno lo sta monitorando pubblicamente.
Il verdetto
n8n ha un problema strutturale, non episodico. Il sandbox delle espressioni — il componente che dovrebbe isolare l’esecuzione di codice utente — è stato violato quattro volte in tre mesi da tre team di ricerca indipendenti. La patch di dicembre è stata bypassata a febbraio. Il fix del bypass è stato aggirato con un vettore diverso. Non sono bug isolati: è un pattern di fragilità architetturale in un software che, per design, ha accesso a tutte le credenziali dei servizi collegati. Con 2,5 miliardi di valutazione e 230.000 utenti, n8n è potentissimo, onnipresente e strutturalmente fragile nel punto più critico. Aggiorna. Segmenta. Proteggi. Ma soprattutto, smetti di esporre n8n direttamente su internet come se fosse una landing page.
