- Nova falha no n8n (CVE-2026-25049) permite que usuários não autenticados executem comandos arbitrários em servidores
- A vulnerabilidade corre o risco de roubo de segredos (chaves de API, tokens OAuth) e exposição de dados entre locatários
- Patch lançado na v2.4.0; PoC já é público, tornando críticas as atualizações imediatas, apesar das soluções temporárias
Uma vulnerabilidade crítica foi encontrada no n8n, que permite que os agentes de ameaças executem comandos arbitrários nos computadores subjacentes.
Na segunda quinzena de dezembro de 2025, os desenvolvedores do n8n lançaram CVE-2025-68613, um patch para uma vulnerabilidade crítica de execução remota de código (RCE) no sistema de avaliação de expressão de fluxo de trabalho. Agora, os pesquisadores de segurança estão dizendo que o patch era inadequado e deixou brechas exploráveis.
Essas falhas levam ao mesmo resultado: escapar da plataforma de automação de fluxo de trabalho e assumir o controle do servidor subjacente.
Prova de conceito lançada
Esta nova falha agora é rastreada como CVE-2026-25049. Aparentemente, qualquer usuário não autenticado que possa criar ou editar fluxos de trabalho na plataforma também poderá realizar RCE na plataforma. servidor n8n. Alguns pesquisadores dizem que o bug pode ser usado para roubar todos os segredos armazenados no servidor, como chaves de API ou tokens OAuth. Além disso, arquivos de configuração confidenciais também estão em risco.
Para piorar as coisas, é possível que os agentes de ameaças mudem de um locatário para outro, roubando dados de várias organizações que compartilham o mesmo ambiente.
“O ataque não requer nada de especial. Se você pode criar um fluxo de trabalho, você pode possuir o servidor”, disse a Pillar Security em um relatório.
Em 30 de dezembro, os desenvolvedores do n8n reconheceram o acidente e lançaram a versão 2.4.0 duas semanas depois. Se você estiver usando ativamente o n8n, é aconselhável aplicar o patch o mais rápido possível, especialmente porque uma Prova de Conceito (PoC) já foi lançada.
BipandoComputador observa que foram os pesquisadores do Endor Labs que publicaram o PoC.
“Em todas as versões anteriores a 2.5.2 e 1.123.17, a função de sanitização assume que as chaves nos acessos de propriedade são strings no código controlado pelo invasor”, explicou Endor Labs.
Aqueles que não podem aplicar o patch no momento podem implantar uma solução alternativa, que inclui limitar a criação de fluxo de trabalho e editar permissões apenas para usuários totalmente confiáveis e implantar o n8n em um ambiente protegido com privilégios de sistema operacional e acesso de rede restritos.
Ainda assim, os desenvolvedores alertaram que isso só pode ser considerado uma solução temporária e que o patch ainda é a melhor maneira de realmente corrigir o problema.
Até o momento, não houve casos relatados de abuso na natureza.
O melhor antivírus para todos os orçamentos
Siga o TechRadar no Google Notícias e adicione-nos como fonte preferencial para receber notícias, análises e opiniões de especialistas em seus feeds. Certifique-se de clicar no botão Seguir!
E é claro que você também pode Siga o TechRadar no TikTok para notícias, análises, unboxings em formato de vídeo e receba atualizações regulares nossas em WhatsApp também.