Pesquisadores divulgaram várias vulnerabilidades no n8n, plataforma open source de automação de workflows, que podem permitir a execução de comandos no servidor, furando correções implementadas em dezembro de 2025. Os problemas foram reunidos na CVE-2026-25049.
Entendendo a falha de sanitização (CVE-2026-25049)
Segundo as notas de segurança da própria equipe do n8n, as falhas estão relacionadas à forma como expressões dentro dos workflows são sanitizadas. Usuários autenticados com permissão para criar ou alterar workflows poderiam inserir expressões especialmente construídas para provocar execução de comandos no host. As vulnerabilidades receberam pontuação CVSS de 9.4, considerada crítica.
Impacto e o histórico de segurança “ni8mare”
Pesquisadores apontam que o impacto é elevado pela natureza dos dados e credenciais normalmente armazenados em plataformas de automação. O problema aparece poucas semanas após outra falha de alta gravidade, apelidada de “ni8mare”, que permitia execução remota sem autenticação. Esse histórico reforça a atenção sobre a superfície de ataque de ferramentas de integração e automação.
Provas de conceito e riscos de exfiltração
Equipes como a Pillar Security e o grupo SecureLayer7 detalharam provas de conceito mostrando que a exploração exige pouco esforço. Em um exemplo, um webhook público sem autenticação foi usado para disparar um trecho de JavaScript que levou à execução de comandos no sistema. A consequência prática é grave: workflows frequentemente guardam chaves de API, tokens e credenciais que, uma vez acessadas, permitem a um atacante ampliar o impacto para outros ambientes e serviços de nuvem.
Riscos em ambientes Multi-tenant e n8n Cloud
O risco é ainda maior em ambientes multi-tenant, como o n8n Cloud, onde a exploração por um cliente malicioso poderia possibilitar acesso a dados de outros usuários, dependendo da arquitetura de isolamento presente. Patches foram disponibilizados e a recomendação é de atualização imediata para todos os usuários.
Medidas práticas e detecção de abuso
Além de aplicar as correções, equipes de segurança devem revisar permissões de usuários, auditar workflows existentes e rotacionar credenciais sensíveis. Detectar abuso em plataformas de automação é desafiador, pois workflows legítimos costumam continuar operando silenciosamente enquanto dados são extraídos. Monitoramento de anomalias e logging detalhado de alterações são medidas essenciais para reduzir a exposição.
Conclusão e recomendações
Em resumo, organizações que usam n8n — seja em servidores próprios ou como serviço hospedado — devem priorizar as atualizações, revisar controles de acesso e tratar workflows como componentes críticos de segurança, dada a capacidade desses sistemas de orquestrar acesso a serviços e dados sensíveis.
