Categories: ALERTAS

Falha crítica no n8n (CVE-2026-25049) permite execução de comandos via workflows

Uma vulnerabilidade crítica no n8n, plataforma popular de automação de workflows, pode permitir que um invasor execute comandos no sistema operacional do servidor onde a instância roda. O problema é rastreado como CVE-2026-25049 (CVSS 9.4) e envolve falhas de sanitização capazes de burlar proteções anteriores.

Contexto: por que isso importa

O n8n é usado para integrar serviços, processar dados e acionar tarefas com acesso a credenciais (APIs, bancos, nuvem). Em ambientes corporativos, um fluxo malicioso pode virar um ponto de entrada para comprometimento do host, roubo de segredos e movimentação lateral.

O que aconteceu

De acordo com o alerta de segurança, um usuário autenticado com permissão para criar ou editar workflows consegue abusar de expressões “craftadas” em parâmetros do fluxo para disparar execução de comandos no host. Pesquisadores descrevem o caso como um bypass de correções aplicadas após a CVE-2025-68613.

Como a exploração pode ocorrer / impacto

  • Pré-requisito: acesso autenticado ao painel com permissão de criar/editar fluxos.
  • Cenário de risco elevado: workflows expostos por webhooks públicos (sem autenticação), permitindo disparo remoto quando o fluxo é ativado.
  • Impactos prováveis: execução remota de comandos, exfiltração de dados, leitura de arquivos sensíveis, roubo de credenciais e implantação de backdoors.

O que observar (detecção)

  • Criação/alteração inesperada de workflows, especialmente com nós de “Code” (JS/Python) ou expressões complexas.
  • Ativação de webhooks públicos recém-criados, com picos de chamadas fora do padrão.
  • Execução de processos anômalos no host do n8n (shells, utilitários de download, conexões de saída incomuns).
  • Alertas de EDR/antivírus sobre comportamento de script, spawn de processos por serviços do n8n e escrita em diretórios sensíveis.

Mitigação (prioridade)

  • Atualize o n8n para uma versão corrigida assim que possível.
  • Restrinja permissões de criação/edição de workflows a usuários totalmente confiáveis (princípio do menor privilégio).
  • Evite expor webhooks publicamente sem autenticação; revise fluxos ativos com endpoints externos.
  • Isole a aplicação em ambiente endurecido (contêiner/VM), com políticas de rede e privilégios do SO limitados.
  • Revogue e rotacione segredos acessados pelo n8n (tokens OAuth, chaves de nuvem, senhas de banco) caso haja suspeita.

Imagem: The Hacker News

Fonte: The Hacker News

TheNinja

Recent Posts

Okta alerta para campanha de vishing “Pink” que registra passkeys adversariais em contas Microsoft 365

Grupo O-UNC-066/Pink combina chamadas telefônicas com páginas falsas do Entra ID para enrolar passkeys controlados…

10 horas ago

CISA publica post-mortem de vazamento de chaves AWS GovCloud em GitHub pessoal de contratado

CISA detalha resposta a incidente em que credenciais AWS GovCloud e código de infraestrutura interno…

10 horas ago

Zimbra alerta para falha crítica de XSS armazenado no Classic Web Client; patch 10.1.19 é obrigatório

Zimbra emite alerta crítico após identificar vulnerabilidade stored XSS no Classic Web Client que permite…

10 horas ago

ANPD publica o 1º relatório do sandbox de IA: Metatext, Synapse AI e Prevvine sob supervisão desde março

ANPD divulga 1º Relatório Parcial do Sandbox Regulatório de IA: Metatext, Synapse AI e Prevvine…

14 horas ago

Grok 4.5 gasta 4,2x menos tokens que Opus 4.8 no SWE-Bench Pro: SpaceXAI aposta na eficiência para vencer no custo por tarefa

Grok 4.5 chega com foco em código e agentes: 15.954 tokens médios em SWE-Bench Pro…

14 horas ago

Qualcomm compra Modular por US$ 3,9 bi para atacar o fosso do CUDA: MAX e Mojo entram na guerra por data centers

Qualcomm anuncia compra da Modular por ~US$ 3,9 bi para desafiar CUDA da NVIDIA com…

14 horas ago