hacker-g55d7f3284_640.jpg

Falhas críticas no n8n dão controle total do servidor

Múltiplas vulnerabilidades críticas na plataforma de automação de workflows n8n, rastreadas como CVE-2026-25049, permitem que qualquer usuário autenticado escape do ambiente isolado e assuma o controle total do servidor. As falhas, originadas de um mecanismo de sanitização incompleto, possibilitam a execução remota de código não restrita. O impacto é o comprometimento completo da instância, acesso a todos os segredos armazenados e pivoteamento para contas em nuvem conectadas.

A exploração não requer condições especiais, bastando a permissão para criar ou editar um workflow no n8n. Os pesquisadores demonstram que é possível executar comandos arbitrários no sistema, roubar credenciais, chaves de API, tokens OAuth e arquivos de configuração sensíveis. Em ambientes multi-inquilino, o acesso a serviços internos do cluster pode permitir o acesso a dados de outros inquilinos.

Sistemas afetados e correção

As vulnerabilidades afetam todas as versões do n8n anteriores à 1.123.17 e 2.5.2. A falha deriva de uma sanitização baseada em AST incompleta e de um bypass ao patch da CVE-2025-68613, corrigida em 20 de dezembro. A equipe do n8n liberou a versão 2.4.0 em 12 de janeiro de 2026 e as correções definitivas nas versões recomendadas.

O problema é uma vulnerabilidade de confusão de tipos, onde as verificações refletidas nas tipagens TypeScript não são impostas em tempo de execução, permitindo o bypass completo dos controles de sanitização.

Alerta de CVE

Usuários do n8n devem atualizar imediatamente para as versões 1.123.17 ou 2.5.2. É essencial rotacionar a chave ‘N8N_ENCRYPTION_KEY’ e todas as credenciais armazenadas no servidor, além de revisar os workflows em busca de expressões suspeitas. Se a atualização não for imediata, restringir permissões de criação de workflow apenas a usuários plenamente confiáveis e implantar o n8n em um ambiente restrito serve como mitigação temporária. CISOs devem monitorar logs de acesso a endpoints n8n, dado o aumento de varreduras maliciosas na plataforma.