Uma nova vulnerabilidade crítica foi divulgada no n8n, plataforma open-source de automação de workflows, que permite a um atacante autenticado executar comandos arbitrários no sistema operacional do servidor onde o n8n está instalado.
Identificada como
CVE-2025-68668
e avaliada com nota 9,9 na escala CVSS, a falha está relacionada a uma brecha no mecanismo de proteção da sandbox. Ela afeta as versões do n8n desde a 1.0.0 até, mas sem incluir, a 2.0.0.
Usuários autenticados com permissão para criar ou modificar workflows podem explorar essa vulnerabilidade para executar comandos no sistema operacional com os mesmos privilégios do processo n8n. A correção foi implementada na versão 2.0.0.
Segundo o aviso de segurança, “existe uma vulnerabilidade de bypass na sandbox do Python Code Node que utiliza Pyodide. Um usuário autenticado com permissão para criar ou modificar workflows pode explorar essa falha para executar comandos arbitrários no sistema hospedeiro rodando o n8n, com os mesmos privilégios do processo n8n.”
A equipe do n8n explicou que, a partir da versão 1.111.0, passou a oferecer uma implementação nativa de Python baseada em task runners como recurso opcional, visando maior isolamento e segurança.
Esse recurso é ativado configurando as variáveis de ambiente N8N_RUNNERS_ENABLED e N8N_NATIVE_PYTHON_RUNNER.
Com a versão 2.0.0, a implementação nativa passou a ser o padrão.
Enquanto a atualização não é aplicada, a plataforma recomenda medidas para mitigar o risco:
- Desabilitar o Code Node configurando a variável de ambiente NODES_EXCLUDE: "[\"n8n-nodes-base.code\"]"
- Desativar o suporte a Python no Code Node definindo N8N_PYTHON_ENABLED=false
- Configurar o n8n para usar a sandbox Python baseada em task runners, ativando as variáveis N8N_RUNNERS_ENABLED e N8N_NATIVE_PYTHON_RUNNER
Essa divulgação ocorre pouco depois do n8n corrigir outra vulnerabilidade crítica (
CVE-2025-68613
, também com nota 9,9), que permitia execução arbitrária de código em condições específicas.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...