A Agência de Cibersegurança e Infraestrutura dos Estados Unidos (CISA) adicionou ontem uma vulnerabilidade crítica na plataforma de automação n8n ao seu catálogo de falhas exploradas conhecidas (KEV), ordenando que agências federais corrijam seus sistemas até 25 de março . Registrada como CVE-2025-68613, a falha de execução remota de código (RCE) permite que atacantes autenticados assumam o controle total de instâncias vulneráveis.
Risco de comprometimento total do sistema
A vulnerabilidade está relacionada ao sistema de avaliação de expressões JavaScript do n8n, onde a falta de isolamento adequado permite que um atacante escape da sandbox e execute comandos arbitrários no servidor . De acordo com a equipe do n8n, a exploração bem-sucedida pode levar ao comprometimento completo da instância afetada, incluindo acesso não autorizado a dados sensíveis, modificação de fluxos de trabalho e execução de operações ao nível do sistema . A falha afeta versões desde a 0.211.0 até a 1.120.3, e foi corrigida nas versões 1.120.4, 1.121.1 e 1.122.0 lançadas em dezembro.
Exposição massiva e campanhas ativas
O grupo de monitoramento Shadowserver rastreia mais de 40 mil instâncias não corrigidas expostas online, com mais de 18 mil endereços IP na América do Norte e mais de 14 mil na Europa . Pesquisas independentes identificaram mais de 83 mil instâncias do n8n acessíveis publicamente na internet . A Akamai confirmou que o malware Zerobot, uma variante do Mirai, está ativamente explorando a CVE-2025-68613 desde janeiro de 2026 para infectar servidores e recrutá-los para uma botnet . A empresa de segurança observou que, embora botnets tradicionalmente visem dispositivos IoT, a exploração do n8n representa um perigo maior por expor infraestruturas críticas organizacionais a movimentação lateral.
Mitigações urgentes
A CISA alerta que este tipo de vulnerabilidade é um vetor de ataque frequente para cibercriminosos e representa riscos significativos para redes governamentais . Embora a diretiva se aplique apenas a agências federais, a agência incentiva fortemente todos os defensores de rede a protegerem seus sistemas contra ataques em andamento o mais rápido possível . Como medidas temporárias, administradores devem limitar permissões de criação e edição de fluxos de trabalho apenas a usuários totalmente confiáveis e restringir privilégios do sistema operacional e acesso à rede . A Akamai recomenda que organizações potencialmente afetadas priorizem a aplicação dos patches, especialmente considerando que provas de conceito públicas estão disponíveis, o que aumenta drasticamente a facilidade e disseminação da exploração ativa.






