CVE-2026-21858 alias Ni8mare: Vulnerabilità critica di esecuzione di codice remoto non autenticato nella piattaforma n8n
L’ondata di vulnerabilità critiche non mostra segni di rallentamento all’inizio del 2026. Dopo la divulgazione di MongoBleed (CVE-2025-14847), un’altra grave falla è emersa, impattando la piattaforma di automazione del flusso di lavoro AI n8n. Tracciata come CVE-2026-21858 e soprannominata Ni8mare, la falla ottiene un punteggio di gravità massimo (CVSS 10.0) and e potrebbe concedere il controllo totale sulle istanze esposte di n8n.
Il rischio è amplificato dalla visibilità della piattaforma su internet. Il fornitore di gestione della superficie di attacco Censys riporta di aver osservato oltre 26.500 host n8n accessibili via internet in tutto il mondo, evidenziando un potenziale di superficie di attacco sostanziale per lo sfruttamento attivo.
Registrati alla SOC Prime Platform, la casa del più grande dataset di Detection Intelligence al mondo, offrendo una pipeline end-to-end dalla rilevazione delle minacce attraverso la simulazione per elevare le capacità del tuo SOC e difendersi proattivamente dalle minacce informatiche di qualsiasi livello di sofisticazione. Premi il tasto Esplora Rilevamenti per accedere a una collezione arricchita di contesto di regole che affrontano lo sfruttamento delle vulnerabilità, filtrate in base al tag CVE pertinente.
Tutte le regole sono compatibili con diversi formati SIEM, EDR e Data Lake e mappate al framework MITRE ATT&CK® v18.1. Inoltre, ogni regola è arricchita con CTI link, cronologie degli attacchi, configurazioni di audit, raccomandazioni di triage, e altro contesto rilevante.
Gli ingegneri della sicurezza possono anche sfruttare Uncoder AI, un IDE e co-pilota per l’ingegneria della rilevazione. Con Uncoder, i difensori possono convertire istantaneamente gli IOC in query di ricerca personalizzate, creare codice di rilevamento da report di minaccia grezzi, generare diagrammi di Attack Flow, abilitare la predizione dei tag ATT&CK, sfruttare l’ottimizzazione delle query guidata dall’AI e tradurre il contenuto di rilevazione su più piattaforme.
Analisi CVE-2026-21858
CVE-2026-21858, soprannominata Ni8mare, espone una grave falla nella logica di analisi delle richieste webhook e di gestione dei file di n8n. Secondo il reportdei Cyera Research Labs, la vulnerabilità deriva dal modo in cui i nodi Webhook elaborano le richieste HTTP in ingresso basandosi sull’intestazione “Content-Type”.
Quando viene ricevuta una richiesta, n8n determina come analizzarla controllando la “Content-Type”. Se l’intestazione è impostata su multipart/form-data, la richiesta viene elaborata dalla funzione parseFormData() . Questa funzione è un involucro attorno al metodo parse() di Formidable e salva i file caricati in un percorso generato casualmente nella directory temporanea del sistema, memorizzando le informazioni del file nella variabile globale req.body.files .
Per tutti gli altri valori “Content-Type”, n8n utilizza la funzione parseBody() , che analizza il corpo dell’HTTP e memorizza i dati decodificati in req.body .
. I ricercatori di Cyera hanno trovato che una richiesta HTTP creata appositamente inviata a un nodo Forms Webhook potrebbe dichiarare intenzionalmente in modo errato l’intestazione “Content-Type” come qualcos’altro da multipart/form-data. Elaborata in questo modo, parseBody() può essere abusata per sovrascrivere la variabile req.body.files con dati controllati dall’aggressore.
Con il controllo sull’oggetto req.body.files , un aggressore può specificare percorsi arbitrarî di file sul sistema locale. Il nodo Form chiama poi la funzione prepareFormReturnItem() , che itera sulle voci in req.body.files e invoca copyBinaryFile() per ciascuna di esse. Questo processo non verifica se i file provengono da un caricamento legittimo, causando la copia dei file locali specificati nella memoria permanente invece.
Il problema è stato segnalato a n8n il 9 novembre 2025 e il fornitore ha confermato che CVE-2026-21858 consente agli aggressori non autenticati di accedere ai file sul server sottostante. Lo sfruttamento può portare all’esposizione di dati sensibili, manipolazione del flusso di lavoro, compromissione delle credenziali e, in alcune configurazioni, compromissione completa dell’istanza.
Secondo l’ avvisodel fornitore, CVE-2026-21858 colpisce tutte le versioni della piattaforma n8n anteriori e inclusa la 1.65.0. È stato risolto nella versione 1.121.0, rilasciata il 18 novembre 2025. Gli utenti dovrebbero aggiornare alla versione 1.121.0 o successiva per rimediare al problema.
Non sono disponibili soluzioni ufficiali. Come mitigazione temporanea, gli utenti possono limitare o disabilitare gli endpoint webhook e form pubblicamente accessibili fino a quando l’aggiornamento può essere applicato. Inoltre, le organizzazioni possono sfruttare la piattaforma AI-native Detection Intelligence di SOC Prime per una difesa in tempo reale, aiutandole a stare un passo avanti rispetto alle minacce critiche supportate da un’ampia libreria di regole di rilevamento curate, intelligence azionabile e AI.
