Destaque

Falha no n8n permite invasões com alto nível de controle sobre o servidor

3 meses atrás

falha-n8n-invasoes-alto-nivel-controle-sobre-o-servidor

Servidor – Uma vulnerabilidade considerada crítica foi identificada no n8n, plataforma de código aberto usada para criar e gerenciar fluxos de automação entre serviços, APIs e sistemas. A falha, registrada como CVE-2025-68668 e avaliada com severidade 9,9 em uma escala de 10, permite que invasores executem comandos diretamente no servidor onde a ferramenta está instalada.

O problema afeta usuários que tenham permissão para criar ou editar workflows, algo relativamente comum em ambientes corporativos e colaborativos. A partir desse nível de acesso, um invasor poderia explorar a brecha para rodar códigos arbitrários, ultrapassando os limites de segurança previstos pela plataforma.

LEIA: DeepSeek cresce nos países em desenvolvimento e impulsiona uso de IA

De acordo com o alerta de segurança, a falha está no Python Code Node, recurso que permite a execução de scripts Python dentro dos fluxos do n8n. Esse componente utiliza o Pyodide, um ambiente de execução que deveria isolar o código do restante do sistema. No entanto, um erro no mecanismo de isolamento permite que o código escape do sandbox e execute comandos diretamente no sistema operacional do servidor.

Com isso, um atacante poderia instalar softwares maliciosos, criar acessos ocultos, roubar informações sensíveis, modificar ou interromper automações e até assumir o controle completo do servidor afetado, já que os comandos seriam executados com os mesmos privilégios do processo do n8n.

A equipe do projeto lançou uma correção na versão 1.111.0 da plataforma, que introduz uma nova implementação nativa para a execução de Python, baseada em um modelo de isolamento mais rígido. A partir da versão 2.0.0, esse novo sistema passou a ser o padrão, reduzindo significativamente o risco desse tipo de ataque.

Para usuários que ainda não podem atualizar a plataforma, o comunicado de segurança recomenda medidas temporárias, como desativar o Code Node, remover o suporte a Python nesse recurso ou configurar o uso do novo sandbox baseado em task runner, como forma de mitigar a exposição à falha.

(Com informações de Tecnoblog)
(Foto: Reprodução/Freepik)

Pixel Desenvolvimento

Publicado por
Pixel Desenvolvimento
Tags: sindical
3 meses atrás

Postagem Relacionada

  • Com menos mão de obra, Japão aposta em robôs inteligentes para manter economia
  • Banco Central reforça critérios para atuação de provedores de serviços de TI
  • Uso de IA na literatura levanta dúvidas sobre originalidade

    • Veja Também

    • Destaque

    Ex-denunciante da indústria do cigarro compara redes sociais ao vício em tabaco

    Bioquímico conhecido por denunciar práticas da indústria do tabaco aponta semelhanças com o funcionamento das…

    16 horas atrás
    • Destaque

    Polícia Federal cumpre mandados contra suspeitos de fraude digital no INSS

    Operação Riga mira grupo suspeito de fraudes digitais; investigadores apontam uso de equipamentos ocultos para…

    17 horas atrás
    • Destaque

    Com menos mão de obra, Japão aposta em robôs inteligentes para manter economia

    Com população em queda e dificuldade de preencher vagas, país amplia investimentos em IA física…

    17 horas atrás