11 de fevereiro de 2026

Falha crítica no n8n (CVE-2026-25049) permite execução de comandos via workflows

11 de fevereiro de 2026

CVE-2026-25049: falha crítica no n8n pode permitir execução de comandos no host a partir de workflows maliciosos.
Instâncias expostas por webhooks públicos e permissões amplas elevam o risco; atualizar e restringir acessos é prioridade.

Uma vulnerabilidade crítica no n8n, plataforma popular de automação de workflows, pode permitir que um invasor execute comandos no sistema operacional do servidor onde a instância roda. O problema é rastreado como CVE-2026-25049 (CVSS 9.4) e envolve falhas de sanitização capazes de burlar proteções anteriores.

Contexto: por que isso importa

O n8n é usado para integrar serviços, processar dados e acionar tarefas com acesso a credenciais (APIs, bancos, nuvem). Em ambientes corporativos, um fluxo malicioso pode virar um ponto de entrada para comprometimento do host, roubo de segredos e movimentação lateral.

O que aconteceu

De acordo com o alerta de segurança, um usuário autenticado com permissão para criar ou editar workflows consegue abusar de expressões “craftadas” em parâmetros do fluxo para disparar execução de comandos no host. Pesquisadores descrevem o caso como um bypass de correções aplicadas após a CVE-2025-68613.

Como a exploração pode ocorrer / impacto

  • Pré-requisito: acesso autenticado ao painel com permissão de criar/editar fluxos.
  • Cenário de risco elevado: workflows expostos por webhooks públicos (sem autenticação), permitindo disparo remoto quando o fluxo é ativado.
  • Impactos prováveis: execução remota de comandos, exfiltração de dados, leitura de arquivos sensíveis, roubo de credenciais e implantação de backdoors.

O que observar (detecção)

  • Criação/alteração inesperada de workflows, especialmente com nós de “Code” (JS/Python) ou expressões complexas.
  • Ativação de webhooks públicos recém-criados, com picos de chamadas fora do padrão.
  • Execução de processos anômalos no host do n8n (shells, utilitários de download, conexões de saída incomuns).
  • Alertas de EDR/antivírus sobre comportamento de script, spawn de processos por serviços do n8n e escrita em diretórios sensíveis.

Mitigação (prioridade)

  • Atualize o n8n para uma versão corrigida assim que possível.
  • Restrinja permissões de criação/edição de workflows a usuários totalmente confiáveis (princípio do menor privilégio).
  • Evite expor webhooks publicamente sem autenticação; revise fluxos ativos com endpoints externos.
  • Isole a aplicação em ambiente endurecido (contêiner/VM), com políticas de rede e privilégios do SO limitados.
  • Revogue e rotacione segredos acessados pelo n8n (tokens OAuth, chaves de nuvem, senhas de banco) caso haja suspeita.

Imagem: The Hacker News

Fonte: The Hacker News

Matérias Relacionadas

PLUGGED NINJA — Notícias de segurança cibernética em português

CISA alerta para exploração ativa do CVE-2025-40551 no SolarWinds Web Help Desk (RCE)

8 de fevereiro de 2026

CISA alerta sobre bypass de autenticação em câmeras TP-Link VIGI (CVE-2026-0629) no recurso de recuperação de senha

7 de fevereiro de 2026

Vulnerabilidade Crítica no Kernel Linux (CVE-2024-36972) Permite Escalada de Privilégio e Escape de Contêiner

5 de fevereiro de 2025

Veja mais..

Microsoft corrige 59 falhas e seis zero-days explorados ativamente no Patch Tuesday de fevereiro

11 de fevereiro de 2026

Falha crítica no n8n (CVE-2026-25049) permite execução de comandos via workflows

11 de fevereiro de 2026
PLUGGED NINJA — Notícias de segurança cibernética em português

CISA alerta para exploração ativa do CVE-2025-40551 no SolarWinds Web Help Desk (RCE)

8 de fevereiro de 2026
PLUGGED NINJA — Notícias de segurança cibernética em português

OpenClaw integra varredura do VirusTotal para barrar skills maliciosas no ClawHub

8 de fevereiro de 2026

Cyware (06/02/2026): DDoS de 31,4 Tbps, CrashFix/ModeloRAT e CVE crítico no n8n

8 de fevereiro de 2026