Falha crítica no n8n (CVE-2026-25049) permite execução de comandos via workflows

Uma vulnerabilidade crítica no n8n, plataforma popular de automação de workflows, pode permitir que um invasor execute comandos no sistema operacional do servidor onde a instância roda. O problema é rastreado como CVE-2026-25049 (CVSS 9.4) e envolve falhas de sanitização capazes de burlar proteções anteriores.

Contexto: por que isso importa

O n8n é usado para integrar serviços, processar dados e acionar tarefas com acesso a credenciais (APIs, bancos, nuvem). Em ambientes corporativos, um fluxo malicioso pode virar um ponto de entrada para comprometimento do host, roubo de segredos e movimentação lateral.

O que aconteceu

De acordo com o alerta de segurança, um usuário autenticado com permissão para criar ou editar workflows consegue abusar de expressões “craftadas” em parâmetros do fluxo para disparar execução de comandos no host. Pesquisadores descrevem o caso como um bypass de correções aplicadas após a CVE-2025-68613.

Como a exploração pode ocorrer / impacto

• Pré-requisito: acesso autenticado ao painel com permissão de criar/editar fluxos.
• Cenário de risco elevado: workflows expostos por webhooks públicos (sem autenticação), permitindo disparo remoto quando o fluxo é ativado.
• Impactos prováveis: execução remota de comandos, exfiltração de dados, leitura de arquivos sensíveis, roubo de credenciais e implantação de backdoors.

O que observar (detecção)

• Criação/alteração inesperada de workflows, especialmente com nós de “Code” (JS/Python) ou expressões complexas.
• Ativação de webhooks públicos recém-criados, com picos de chamadas fora do padrão.
• Execução de processos anômalos no host do n8n (shells, utilitários de download, conexões de saída incomuns).
• Alertas de EDR/antivírus sobre comportamento de script, spawn de processos por serviços do n8n e escrita em diretórios sensíveis.

Mitigação (prioridade)

• Atualize o n8n para uma versão corrigida assim que possível.
• Restrinja permissões de criação/edição de workflows a usuários totalmente confiáveis (princípio do menor privilégio).
• Evite expor webhooks publicamente sem autenticação; revise fluxos ativos com endpoints externos.
• Isole a aplicação em ambiente endurecido (contêiner/VM), com políticas de rede e privilégios do SO limitados.
• Revogue e rotacione segredos acessados pelo n8n (tokens OAuth, chaves de nuvem, senhas de banco) caso haja suspeita.

Imagem: The Hacker News

Fonte: The Hacker News