{"id":14361,"date":"2026-01-09T17:46:42","date_gmt":"2026-01-09T20:46:42","guid":{"rendered":"https:\/\/fenati.org.br\/?p=14361"},"modified":"2026-01-12T11:16:45","modified_gmt":"2026-01-12T14:16:45","slug":"falha-n8n-invasoes-alto-nivel-controle-sobre-o-servidor","status":"publish","type":"post","link":"https:\/\/fenati.org.br\/en\/falha-n8n-invasoes-alto-nivel-controle-sobre-o-servidor\/","title":{"rendered":"Falha no n8n permite invas\u00f5es com alto n\u00edvel de controle sobre o servidor"},"content":{"rendered":"<p><strong>Servidor &#8211;<\/strong> Uma vulnerabilidade considerada cr\u00edtica foi identificada no n8n, plataforma de c\u00f3digo aberto usada para criar e gerenciar fluxos de automa\u00e7\u00e3o entre servi\u00e7os, APIs e sistemas. A falha, registrada como CVE-2025-68668 e avaliada com severidade 9,9 em uma escala de 10, permite que invasores executem comandos diretamente no servidor onde a ferramenta est\u00e1 instalada.<\/p>\n<p>O problema afeta usu\u00e1rios que tenham permiss\u00e3o para criar ou editar workflows, algo relativamente comum em ambientes corporativos e colaborativos. A partir desse n\u00edvel de acesso, um invasor poderia explorar a brecha para rodar c\u00f3digos arbitr\u00e1rios, ultrapassando os limites de seguran\u00e7a previstos pela plataforma.<\/p>\n<p><a href=\"https:\/\/fenati.org.br\/en\/deepseek-cresce-paises-desenvolvimento\/\" target=\"_blank\" rel=\"noopener\"><strong>LEIA: DeepSeek cresce nos pa\u00edses em desenvolvimento e impulsiona uso de IA<\/strong><\/a><\/p>\n<p>De acordo com o alerta de seguran\u00e7a, a falha est\u00e1 no Python Code Node, recurso que permite a execu\u00e7\u00e3o de scripts Python dentro dos fluxos do n8n. Esse componente utiliza o Pyodide, um ambiente de execu\u00e7\u00e3o que deveria isolar o c\u00f3digo do restante do sistema. No entanto, um erro no mecanismo de isolamento permite que o c\u00f3digo escape do sandbox e execute comandos diretamente no sistema operacional do servidor.<\/p>\n<p>Com isso, um atacante poderia instalar softwares maliciosos, criar acessos ocultos, roubar informa\u00e7\u00f5es sens\u00edveis, modificar ou interromper automa\u00e7\u00f5es e at\u00e9 assumir o controle completo do servidor afetado, j\u00e1 que os comandos seriam executados com os mesmos privil\u00e9gios do processo do n8n.<\/p>\n<p>A equipe do projeto lan\u00e7ou uma corre\u00e7\u00e3o na vers\u00e3o 1.111.0 da plataforma, que introduz uma nova implementa\u00e7\u00e3o nativa para a execu\u00e7\u00e3o de Python, baseada em um modelo de isolamento mais r\u00edgido. A partir da vers\u00e3o 2.0.0, esse novo sistema passou a ser o padr\u00e3o, reduzindo significativamente o risco desse tipo de ataque.<\/p>\n<p>Para usu\u00e1rios que ainda n\u00e3o podem atualizar a plataforma, o comunicado de seguran\u00e7a recomenda medidas tempor\u00e1rias, como desativar o Code Node, remover o suporte a Python nesse recurso ou configurar o uso do novo sandbox baseado em task runner, como forma de mitigar a exposi\u00e7\u00e3o \u00e0 falha.<\/p>\n<p><em><strong>(Com informa\u00e7\u00f5es de Tecnoblog)<\/strong><\/em><br \/>\n<em><strong>(Foto: Reprodu\u00e7\u00e3o\/Freepik)<\/strong><\/em><\/p>","protected":false},"excerpt":{"rendered":"<p>Vulnerabilidade no Python Code Node permite que usu\u00e1rios editem fluxos e rodem comandos diretamente no sistema<\/p>","protected":false},"author":6,"featured_media":14362,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[35],"tags":[13],"class_list":["post-14361","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ti","tag-sindical"],"_links":{"self":[{"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/posts\/14361","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/users\/6"}],"replies":[{"embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/comments?post=14361"}],"version-history":[{"count":1,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/posts\/14361\/revisions"}],"predecessor-version":[{"id":14363,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/posts\/14361\/revisions\/14363"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/media\/14362"}],"wp:attachment":[{"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/media?parent=14361"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/categories?post=14361"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/tags?post=14361"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}