A agência norte-americana de segurança cibernética Cybersecurity and Infrastructure Security Agency (CISA) emitiu, na quarta-feira, uma ordem para que órgãos governamentais corrijam uma vulnerabilidade no n8n, plataforma de automação de workflows que está sendo explorada ativamente.
O n8n é uma ferramenta open-source amplamente utilizada no desenvolvimento de inteligência artificial para automatizar a captura e o processamento de dados.
A plataforma registra mais de 50 mil downloads semanais no npm e ultrapassa 100 milhões de pulls no Docker Hub.
Por funcionar como um hub de automação, o n8n costuma armazenar dados altamente sensíveis, como chaves de API, credenciais de banco de dados, tokens OAuth, acessos a armazenamento em nuvem e segredos de pipelines CI/CD, o que o torna um alvo atrativo para atacantes.
A vulnerabilidade, catalogada como
CVE-2025-68613
, é uma falha de execução remota de código que permite que invasores autenticados controlem o servidor comprometido com os privilégios do processo do n8n.
Segundo a CISA, o problema está relacionado ao controle inadequado dos recursos de código dinâmico no mecanismo de avaliação de expressões do workflow, possibilitando ataques remotos.
A equipe do n8n destacou que a exploração da falha pode levar à tomada completa da instância afetada, com acesso não autorizado a dados sensíveis, modificação de workflows e execução de comandos no nível do sistema operacional.
O problema foi corrigido em dezembro com o lançamento da versão 1.122.0 do n8n, que já está disponível.
Os administradores de TI foram orientados a aplicar o patch imediatamente.
Para quem não puder atualizar de imediato, recomenda-se restringir as permissões de criação e edição de workflows a usuários plenamente confiáveis, além de limitar privilégios do sistema operacional e o acesso à rede, como medidas temporárias para mitigar riscos.
O grupo de monitoramento Shadowserver identificou mais de 40 mil instâncias vulneráveis expostas na internet, incluindo cerca de 18 mil IPs na América do Norte e mais de 14 mil na Europa.
Na quarta-feira, a CISA adicionou a vulnerabilidade ao seu catálogo Known Exploited Vulnerabilities (KEV) e determinou que as agências federais civis norte-americanas (FCEB) corrijam os sistemas afetados até 25 de março, conforme a diretiva operacional vinculativa BOD 22-01, publicada em novembro de 2021.
“A exploração desse tipo de vulnerabilidade é um vetor comum para agentes maliciosos e representa um risco significativo para o ambiente federal”, alerta a CISA.
A agência reforça que as organizações devem aplicar as medidas recomendadas pelo fornecedor, seguir as diretrizes do BOD 22-01 para serviços em nuvem ou, na ausência de soluções, suspender o uso do produto.
Embora a diretiva atinja apenas órgãos federais dos Estados Unidos, a CISA recomenda que todos os profissionais de segurança de redes fiquem atentos e protejam suas infraestruturas contra ataques que explorem a
CVE-2025-68613
o quanto antes.
Além dessa falha, a equipe de segurança do n8n vem corrigindo outras vulnerabilidades graves desde o início do ano, incluindo a chamada Ni8mare, que permite a atacantes remotos sem privilégios sequestrar servidores n8n vulneráveis e não atualizados.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...