Vulnerabilidade CVE-2025-68668 n8n
Pesquisadores de cibersegurança revelaram uma nova e grave vulnerabilidade no n8n, a popular plataforma de automação de fluxos de trabalho de código aberto. A falha poderia permitir que um atacante autenticado executasse comandos arbitrários no sistema operacional do servidor subjacente, podendo levar à completa violação do sistema.
O problema está sendo rastreado como CVE-2025-68668 e possui uma pontuação CVSS de 9,9, o que o classifica firmemente na categoria de gravidade crítica. Ele foi classificado como uma falha no mecanismo de proteção.
Índice
Quem está em risco e por que isso é importante?
Essa vulnerabilidade afeta as versões do n8n de 1.0.0 até (mas não incluindo) a versão 2.0.0. Qualquer usuário autenticado que tenha permissão para criar ou modificar fluxos de trabalho pode explorar a falha para executar comandos de nível de sistema com os mesmos privilégios do processo n8n.
A vulnerabilidade decorre de uma falha de segurança no ambiente de execução isolado (sandbox) do nó de código Python, que depende do Pyodide. Ao explorar esse componente, um atacante pode escapar do ambiente de execução pretendido e interagir diretamente com o sistema operacional do host.
O problema foi totalmente corrigido na versão 2.0.0 do n8n.
Análise técnica: Escapando da sandbox do Python
De acordo com o comunicado oficial, os controles de sandbox do Python Code Node eram insuficientes, permitindo que invasores contornassem as restrições e executassem comandos arbitrários. Isso aumenta drasticamente o perfil de risco dos sistemas afetados, especialmente em ambientes onde vários usuários podem criar ou editar fluxos de trabalho.
Melhorias de segurança e correção a longo prazo do n8n
Em resposta a preocupações mais amplas sobre o isolamento de processos (sandboxing), o n8n introduziu um modelo de execução nativa do Python baseado em executores de tarefas na versão 1.111.0 como um recurso opcional e mais seguro. Esse modelo pode ser ativado usando as variáveis de ambiente N8N_RUNNERS_ENABLED e N8N_NATIVE_PYTHON_RUNNER.
Com o lançamento da versão 2.0.0, essa implementação mais segura agora está habilitada por padrão, corrigindo efetivamente a vulnerabilidade.
Medidas de mitigação recomendadas para sistemas sem patches
Até que seja possível atualizar para a versão 2.0.0, a n8n recomenda a aplicação das seguintes medidas de segurança temporárias:
Desative completamente o nó de código definindo :
NODES_EXCLUDE: ['n8n-nodes-base.code']
Desative o suporte a Python no nó de código definindo :
N8N_PYTHON_ENABLED=false
Forçar o uso do ambiente de execução de tarefas baseado em sandbox Python por meio de :
N8N_RUNNERS_ENABLED e N8N_NATIVE_PYTHON_RUNNER
Essas medidas reduzem significativamente o risco de fuga do sandbox e execução de comandos.
Parte de uma tendência preocupante
Esta divulgação ocorre logo após outra vulnerabilidade crítica do n8n, CVE-2025-68613 (também classificada com 9,9 no CVSS), que poderia igualmente levar à execução de código arbitrário sob certas condições. Juntos, esses problemas destacam a necessidade urgente de os administradores priorizarem as atualizações e restringirem as permissões de fluxo de trabalho.
