Hack Alerta

CVE-2026-21858: 105 mil instâncias n8n expostas a RCE crítico

Por Redação Hack Alerta Publicado em 13/01/2026 05:02 Riscos e Ameaças Tempo de leitura: 3 min

CVE-2026-21858 é uma RCE crítica no n8n que deixou 105.753 instâncias públicas vulneráveis. A falha atinge n8n 1.65.0–1.120.x; atualizar para 1.121.0 é urgente para evitar tomada de instância e exposição de credenciais.

Resumo

Uma falha crítica (CVE-2026-21858, CVSS 10.0) no tratamento de webhooks do n8n permite execução remota de código sem autenticação. Varredura do Shadowserver identificou 105.753 instâncias públicas vulneráveis — quase metade das instâncias expostas — elevando o risco de tomadas de controle e vazamento de segredos de integração.

Descoberta e escopo

Pesquisadores da Shadowserver Foundation realizaram uma varredura em 9 de janeiro de 2026 e reportaram 105.753 endereços IP rodando versões vulneráveis do n8n, dentro de um universo de 230.562 IPs com n8n ativos naquele dia. A falha foi registrada como CVE-2026-21858 e recebeu pontuação CVSS 10.0 — classificação crítica.

Vetor e mecanismo

Segundo o relatório, a raiz do problema é uma confusão de content-type no processamento de webhooks do n8n. Requisições HTTP especialmente forjadas com cabeçalhos manipulados permitem que invasores não autenticados executem código arbitrário no servidor afetado.

Evidências de exploração e risco operacional

  • A varredura do Shadowserver documentou a amplitude de instâncias expostas.
  • Provas de conceito já estão publicamente disponíveis, e pesquisadores apontam que atacantes estão ativamente escaneando a internet por alvos vulneráveis.
  • Impacto descrito inclui leitura de arquivos sensíveis, exfiltração de credenciais, forjamento de sessões administrativas e tomada completa da instância — com potencial para comprometer APIs e serviços ligados aos workflows.

Versões afetadas e mitigação imediata

O problema afeta principalmente versões de n8n entre 1.65.0 e 1.120.x. A correção está disponível a partir da versão 1.121.0; organizações devem priorizar a atualização imediatamente.

Recomendações técnicas

  • Atualizar n8n para versão 1.121.0 ou superior sem atraso.
  • Evitar expor instâncias n8n direto à internet; proteger webhooks por rede privada, VPN ou regras de firewall que restrinjam origens confiáveis.
  • Revisar credenciais, tokens e integrações conectadas aos workflows; rotacionar segredos se houver suspeita de acesso indevido.
  • Monitorar logs de webhook e requests HTTP por padrões anômalos e payloads inesperados.
  • Isolar instâncias de produção e limitar privilégios de service accounts usadas em workflows.

O que falta

Os relatórios públicos descrevem a presença maciça de instâncias vulneráveis e a existência de PoC; não há, entretanto, um inventário público que correlacione endereços IP vulneráveis a organizações específicas. Também não foram divulgadas evidências públicas de campanhas de exploração massiva com impactos industriais além do escaneamento e PoC.

Implicações

Plataformas de automação de workflows frequentemente integram bancos de dados, APIs e credenciais sensíveis — o que transforma uma RCE em n8n em um vetor de alto impacto para vazamentos e movimentos laterais. A combinação de CVSS 10.0, ampla exposição e PoC público posiciona a falha como prioridade crítica para times de segurança e operações.

Referência

Dados e varredura citados pela Shadowserver Foundation; aviso de atualização publicado pelo ecossistema n8n.
Baseado em publicação original de Cyber Security News
Tags: #n8n #rce #cve-2026-21858 #shadowserver #webhooks #automation #vulnerabilidade #atualizacao #seguranca
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar