Ideias e Toques

Falha crítica no n8n permite que invasores executem código no servidor

Falha crítica no n8n permite que invasores executem código no servidor
Problema afeta um componente específico do n8n (ilustração: Vitor Pádua/Tecnoblog)
Resumo
  • Uma vulnerabilidade no n8n (CVE-2025-68668) permite execução arbitrária de comandos no servidor e afeta o Python Code Node.
  • A falha pode ser explorada por usuários com permissão para criar ou editar workflows, comprometendo a segurança do servidor.
  • A correção está na versão 1.111.0 do n8n, que introduz um modelo de isolamento mais seguro para execução de código Python.

Uma falha crítica de segurança foi identificada no n8n, plataforma open source de automação de fluxos de trabalho. A ferramenta integra serviços, plataformas e APIs de forma visual, com pouca necessidade de programação em código.

Catalogado como CVE-2025-68668 e avaliado com severidade 9,9/10, o problema afeta um componente específico do n8n e pode ser explorado por usuários que tenham permissão para criar ou editar workflows. Essa vulnerabilidade permite que invasores executem código arbitrário diretamente no sistema que hospeda a ferramenta.

Embora não envolva acesso totalmente anônimo, o TechRadar lembra que, em ambientes colaborativos ou corporativos, esse tipo de permissão é relativamente comum.

É justamente pela flexibilidade e facilidade do n8n que o impacto potencial se amplia, já que os workflows podem rodar códigos personalizados dentro da plataforma.

Como é a vulnerabilidade?

Tela de login da plataforma n8n com fundo escuro. No centro, há um quadro com os campos de texto "Email" e "Password", botão laranja com o texto "Sign in" e link "Forgot my password" em vermelho. Acima do quadro, está o logotipo rosa da n8n com o nome "n8n" em branco.
Tela de login da plataforma n8n (imagem: divulgação/HostGator)

Segundo o aviso de segurança publicado no GitHub, a falha foi encontrada no Python Code Node, que utiliza o Pyodide — um runtime de Python projetado para rodar em navegadores e outros ambientes JavaScript. O problema está no bypass do sandbox, mecanismo que deveria impedir que o código executado ultrapasse limites de segurança.

Na prática, um invasor com acesso válido para editar workflows poderia inserir código Python elaborado para escapar do ambiente isolado do Pyodide e executar comandos no sistema operacional hospedeiro. Esses comandos seriam rodados com os mesmos privilégios do processo do n8n.

Uma vez obtido esse nível de acesso, o invasor poderia instalar malwares ou backdoors, roubar dados sensíveis, se mover lateralmente pela rede, alterar ou interromper fluxos de automação e até comprometer completamente o servidor.

Há correção?

Cadeado com senha sobre um notebook
Falha de segurança é considerada crítica (imagem: TheDigitalWay/Flickr)

Sim, a vulnerabilidade é corrigida na versão 1.111.0 do n8n. A atualização introduziu uma nova implementação nativa de Python baseada em task runner, descrita pela equipe como “um modelo de isolamento mais seguro”. Inicialmente opcional, essa abordagem pode ser ativada por meio das seguintes variáveis de ambiente:

1. N8N_RUNNERS_ENABLED

2. N8N_NATIVE_PYTHON_RUNNER.

A partir da versão 2.0.0, esse novo modelo passou a ser o padrão da plataforma, reduzindo o risco associado à execução de código Python em workflows.

Para quem não consegue atualizar imediatamente, o aviso de segurança recomenda alternativas temporárias:

  • desativar completamente o Code Node;
  • desabilitar o suporte a Python dentro desse nó;
  • configurar o uso do sandbox baseado em task runner.

Falha crítica no n8n permite que invasores executem código no servidor