Destaque

Falha no n8n permite invasões com alto nível de controle sobre o servidor

2 minutos atrás

falha-n8n-invasoes-alto-nivel-controle-sobre-o-servidor

Servidor – Uma vulnerabilidade considerada crítica foi identificada no n8n, plataforma de código aberto usada para criar e gerenciar fluxos de automação entre serviços, APIs e sistemas. A falha, registrada como CVE-2025-68668 e avaliada com severidade 9,9 em uma escala de 10, permite que invasores executem comandos diretamente no servidor onde a ferramenta está instalada.

O problema afeta usuários que tenham permissão para criar ou editar workflows, algo relativamente comum em ambientes corporativos e colaborativos. A partir desse nível de acesso, um invasor poderia explorar a brecha para rodar códigos arbitrários, ultrapassando os limites de segurança previstos pela plataforma.

LEIA: DeepSeek cresce nos países em desenvolvimento e impulsiona uso de IA

De acordo com o alerta de segurança, a falha está no Python Code Node, recurso que permite a execução de scripts Python dentro dos fluxos do n8n. Esse componente utiliza o Pyodide, um ambiente de execução que deveria isolar o código do restante do sistema. No entanto, um erro no mecanismo de isolamento permite que o código escape do sandbox e execute comandos diretamente no sistema operacional do servidor.

Com isso, um atacante poderia instalar softwares maliciosos, criar acessos ocultos, roubar informações sensíveis, modificar ou interromper automações e até assumir o controle completo do servidor afetado, já que os comandos seriam executados com os mesmos privilégios do processo do n8n.

A equipe do projeto lançou uma correção na versão 1.111.0 da plataforma, que introduz uma nova implementação nativa para a execução de Python, baseada em um modelo de isolamento mais rígido. A partir da versão 2.0.0, esse novo sistema passou a ser o padrão, reduzindo significativamente o risco desse tipo de ataque.

Para usuários que ainda não podem atualizar a plataforma, o comunicado de segurança recomenda medidas temporárias, como desativar o Code Node, remover o suporte a Python nesse recurso ou configurar o uso do novo sandbox baseado em task runner, como forma de mitigar a exposição à falha.

(Com informações de Tecnoblog)
(Foto: Reprodução/Freepik)

Pixel Desenvolvimento

Publicado por
Pixel Desenvolvimento
Tags: sindical
2 minutos atrás

Postagem Relacionada

  • DeepSeek cresce nos países em desenvolvimento e impulsiona uso de IA
  • Astrônomos observam explosão recorde em destruição de “super Sol” por buraco negro

    • Veja Também

    • Destaque

    DeepSeek cresce nos países em desenvolvimento e impulsiona uso de IA

    Análise com dados de telemetria mostra que modelos acessíveis e de código aberto impulsionam o…

    28 minutos atrás
    • Destaque

    Astrônomos observam explosão recorde em destruição de “super Sol” por buraco negro

    Fenômeno observado quase em tempo real mostrou buraco negro liberando energia que superou brilho das…

    57 minutos atrás
    • Destaque

    Lego aposta em pecinha eletrônica para dar vida às construções físicas

    Smart Brick estreia com proposta de brincadeira interativa sem telas e começa pela linha Star…

    3 horas atrás