Destaque

Falha no n8n permite invasões com alto nível de controle sobre o servidor

5 meses atrás

falha-n8n-invasoes-alto-nivel-controle-sobre-o-servidor

Servidor – Uma vulnerabilidade considerada crítica foi identificada no n8n, plataforma de código aberto usada para criar e gerenciar fluxos de automação entre serviços, APIs e sistemas. A falha, registrada como CVE-2025-68668 e avaliada com severidade 9,9 em uma escala de 10, permite que invasores executem comandos diretamente no servidor onde a ferramenta está instalada.

O problema afeta usuários que tenham permissão para criar ou editar workflows, algo relativamente comum em ambientes corporativos e colaborativos. A partir desse nível de acesso, um invasor poderia explorar a brecha para rodar códigos arbitrários, ultrapassando os limites de segurança previstos pela plataforma.

LEIA: DeepSeek cresce nos países em desenvolvimento e impulsiona uso de IA

De acordo com o alerta de segurança, a falha está no Python Code Node, recurso que permite a execução de scripts Python dentro dos fluxos do n8n. Esse componente utiliza o Pyodide, um ambiente de execução que deveria isolar o código do restante do sistema. No entanto, um erro no mecanismo de isolamento permite que o código escape do sandbox e execute comandos diretamente no sistema operacional do servidor.

Com isso, um atacante poderia instalar softwares maliciosos, criar acessos ocultos, roubar informações sensíveis, modificar ou interromper automações e até assumir o controle completo do servidor afetado, já que os comandos seriam executados com os mesmos privilégios do processo do n8n.

A equipe do projeto lançou uma correção na versão 1.111.0 da plataforma, que introduz uma nova implementação nativa para a execução de Python, baseada em um modelo de isolamento mais rígido. A partir da versão 2.0.0, esse novo sistema passou a ser o padrão, reduzindo significativamente o risco desse tipo de ataque.

Para usuários que ainda não podem atualizar a plataforma, o comunicado de segurança recomenda medidas temporárias, como desativar o Code Node, remover o suporte a Python nesse recurso ou configurar o uso do novo sandbox baseado em task runner, como forma de mitigar a exposição à falha.

(Com informações de Tecnoblog)
(Foto: Reprodução/Freepik)

Pixel Desenvolvimento

Publicado por
Pixel Desenvolvimento
Tags: sindical
5 meses atrás

Postagem Relacionada

  • ANPD reforça dever das plataformas de facilitar denúncias de usuários
  • Apps cobravam por falso serviço de histórico de chamadas
  • Maratona tecnológica desafia alunos a criar soluções para problemas reais da indústria

    • Veja Também

    • Destaque

    Justiça: Enquadramento sindical irregular pode incidir em prática antissindical

    Prática pode ocorrer por conta de um simples equívoco, bem como medida deliberada para escapar…

    16 horas atrás
    • Notícias

    ANPD reforça dever das plataformas de facilitar denúncias de usuários

    Agência esclarece que não analisará publicações específicas, mas acompanhará o cumprimento das medidas para prevenção…

    16 horas atrás
    • Destaque

    Tecnologia produz água a partir do ar de forma quase instantânea

    Protótipo utiliza vibrações ultrassônicas para liberar água capturada do ar de maneira até 45 vezes…

    16 horas atrás