Hack Alerta

CVE‑2025‑68668 (n8n): falha 9.9 permite execução de comandos por usuários autenticados

Por Redação Hack Alerta Publicado em 06/01/2026 10:03 Riscos e Ameaças Tempo de leitura: 3 min

CVE‑2025‑68668 (CVSS 9.9) em n8n permite que usuários autenticados com permissão de workflow executem comandos arbitrários no host. A correção está em n8n 2.0.0; mitigantes incluem desabilitar o Code Node ou desativar suporte Python até atualizar.

Introdução

Foi divulgado um advisory para n8n que descreve a falha rastreada como CVE‑2025‑68668 (CVSS 9.9). A vulnerabilidade permite que usuários autenticados com permissão para criar ou editar workflows executem comandos arbitrários no host que roda o serviço.

O problema técnico

A raiz da falha é uma violação do isolamento da execução de código Python no Code Node do n8n, que até então utilizava Pyodide. Autores do advisory classificam o problema como um sandbox‑bypass / Protection Mechanism Failure (CWE‑693) com escopo «Changed», indicando que a exploração pode afetar recursos além do componente vulnerável.

Versões afetadas e remediação

  • Versões afetadas: n8n >= 1.0.0 e < 2.0.0 (lista citada até 1.111.0).
  • Correção: n8n lançou a versão 2.0.0, que substitui o modelo de execução Python por um runner nativo baseado em task‑runner, oferecendo isolamento reforçado.

Vetor de ataque e facilidade

Exigência de ataque: acesso de rede e credenciais com privilégios baixos (capacidade de criar/modificar workflows). A exploração tem baixa complexidade e não requer interação adicional do usuário, o que a torna especialmente perigosa em infraestruturas onde a autenticação interna é frágil ou serviços n8n estão expostos à rede corporativa sem MFA e segmentação adequadas.

Impacto operacional

Explorar a falha permite execução de comandos com os privilégios do processo n8n, potencialmente levando à elevação de impacto por meio de credenciais armazenadas, acesso a repositórios, conexões a sistemas internos e implantação de cargas adicionais maliciosas. Em ambientes de automação onde workflows integram sistemas críticos, o vetor oferece caminho para movimentos laterais e exfiltração.

Mitigações imediatas

  • Atualizar imediatamente para n8n 2.0.0 ou posterior.
  • Se atualização imediata não for possível, aplicar workarounds oficiais: desabilitar completamente o Code Node (NODES_EXCLUDE para n8n-nodes-base.code) e/ou desativar suporte Python (N8N_PYTHON_ENABLED=false a partir de 1.104.0).
  • Habilitar o runner nativo Python com variáveis N8N_RUNNERS_ENABLED e N8N_NATIVE_PYTHON_RUNNER quando suportado.
  • Isolar instâncias n8n da internet pública, aplicar MFA nas contas administrativas e revisar logs/execuções de workflows recentes por atividade anômala.

Observações para CISOs

CVE‑2025‑68668 atende critérios para cobertura executiva: severidade crítica (9.9), vetor de rede e alcance de produto com base instalada em automações. A exposição de instâncias n8n em redes corporativas sem segmentação e com políticas permissivas de workflow aumenta risco de comprometimento de pipeline de automação — um vetor frequentemente negligenciado em programas de gestão de vulnerabilidades.

O que falta

Nos dados públicos não há relatos confirmados de exploração ativa em massa. Organizações devem, porém, tratar a falha como de alto risco dada a combinação de facilidade de exploração e impacto potencial, além de priorizar a mitigação em assets que executam integração entre serviços sensíveis.

Fonte: Cyber Security News (advisory de n8n e GitHub)

Baseado em publicação original de Cyber Security News
Tags: #n8n #cve-2025-68668 #sandbox-bypass #pyodide #rce #automacao #workflows #vulnerability #mitigacao
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar