Falhas críticas no n8n permitem execução remota de código e vazamento de credenciais armazenadas
12 de Março de 2026

Pesquisadores em cibersegurança revelaram duas vulnerabilidades críticas, agora corrigidas, na plataforma de automação de workflows n8n.

Ambas podem ser exploradas para permitir a execução arbitrária de comandos, representando riscos significativos aos usuários da ferramenta.

As falhas identificadas são:

- ** CVE-2026-27577 ** (pontuação CVSS: 9,4) – Escape da sandbox de expressões que possibilita execução remota de código (RCE).

- ** CVE-2026-27493 ** (pontuação CVSS: 9,5) – Avaliação de expressão sem autenticação por meio dos nós de formulário (Form nodes) do n8n.

Eilon Cohen, pesquisador da Pillar Security responsável pela descoberta, explicou que o CVE-2026-27577 ocorre devido a uma falha no compilador de expressões, em que um caso ausente no AST rewriter permite a execução de processos sem a devida transformação.

Dessa forma, qualquer expressão autenticada passa a ter capacidade completa para executar comandos remotamente.

Já a CVE-2026-27493 é um “bug de dupla avaliação” nos nós de formulário do n8n.

Como os endpoints desses formulários são públicos — sem exigir autenticação ou conta — o invasor pode usar, por exemplo, um formulário “Fale Conosco” para injetar comandos arbitrários no sistema simplesmente inserindo um payload malicioso no campo Nome (Name).

Em comunicado publicado no final do mês passado, a equipe do n8n alertou que a CVE-2026-27577 pode ser explorada por usuários autenticados com permissão para criar ou modificar workflows, permitindo a execução de comandos maliciosos no servidor que hospeda o n8n por meio de expressões manipuladas nos parâmetros do workflow.

Além disso, a combinação dos dois bugs permite escalar o ataque para execução remota de código no servidor da aplicação, afetando tanto as versões self-hosted quanto as versões em nuvem do n8n.

As versões vulneráveis são:

- Inferiores à 1.123.22
- Entre 2.0.0 e inferior à 2.9.3
- Entre 2.10.0 e inferior à 2.10.1

A correção foi aplicada nas versões 2.10.1, 2.9.3 e 1.123.22.

Para quem não puder atualizar imediatamente, recomenda-se restringir as permissões de criação e edição de workflows a usuários completamente confiáveis, além de executar o n8n em ambientes endurecidos, com privilégios restritos no sistema operacional e acesso de rede limitado.

Para mitigar o CVE-2026-27493 , o n8n sugere:

- Revisar manualmente o uso dos nós de formulário para identificar riscos.

- Desabilitar o nó Form adicionando o valor **n8n-nodes-base.form** à variável de ambiente **NODES_EXCLUDE**.

- Desabilitar o Form Trigger adicionando **n8n-nodes-base.formTrigger** na mesma variável.

Os desenvolvedores alertam que essas medidas não eliminam completamente os riscos e devem ser adotadas apenas como soluções temporárias.

A Pillar Security também destacou que, ao explorar esses bugs, um atacante pode acessar a variável de ambiente **N8N_ENCRYPTION_KEY**, usada para descriptografar todas as credenciais armazenadas no banco de dados do n8n — incluindo chaves AWS, senhas de banco, tokens OAuth e chaves de API.

Além dessas falhas, as versões corrigidas tratam mais dois bugs críticos, que também podem levar à execução arbitrária de código:

- ** CVE-2026-27495 ** (CVSS 9,4): usuário autenticado com permissão para modificar workflows pode explorar a sandbox do JavaScript Task Runner para executar código fora da sandbox.

- ** CVE-2026-27497 ** (CVSS 9,4): usuário autenticado pode usar o modo de consulta SQL do nó Merge para executar código e gravar arquivos arbitrários no servidor.

Para mitigar esses problemas, o n8n recomenda:

- Para CVE-2026-27495 : ativar o modo executor externo definindo **N8N_RUNNERS_MODE=external**.

- Para CVE-2026-27497 : desabilitar o nó Merge adicionando **n8n-nodes-base.merge** em **NODES_EXCLUDE**.

Até o momento, não há relatos de exploração ativa dessas vulnerabilidades.

Contudo, é fundamental que os usuários mantenham suas instalações atualizadas para garantir a máxima proteção.

Publicidade

Traçamos um caminho para você ir do zero ao avançado em hacking

Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...