){kind=link}
O n8n, software open source adotado por cerca de 230 mil usuários ativos, concentrou ao menos três vulnerabilidades graves em poucos meses. A mais séria delas permite que um invasor assuma o controle total do sistema sem precisar de permissões especiais. Mais de 103 mil instâncias ainda não receberam a correção.
O n8n é uma ferramenta que conecta sistemas diferentes de forma automatizada. Uma empresa pode usá-lo para integrar o CRM com o sistema de e-mail, disparar alertas quando um pedido é feito, ou processar dados entre plataformas sem intervenção humana. É o tipo de software que fica rodando silenciosamente em segundo plano, coordenando processos inteiros.
smart_display
Nossos vídeos em destaque
A primeira falha e o alerta federal
A vulnerabilidade identificada como CVE-2025-68613 foi revelada em dezembro. Ela recebeu nota 9,9 em uma escala que vai até 10, o que já diz bastante sobre a gravidade do problema. A falha está no mecanismo que o n8n usa para avaliar expressões dentro dos fluxos de trabalho.
Basicamente, o sistema executa pedaços de código para decidir o que fazer em cada etapa de uma automação. O problema é que, sob certas condições, um usuário autenticado conseguia inserir comandos maliciosos nessas expressões e o sistema os executava sem questionar. Alguém com uma conta de baixo privilégio podia, a partir disso, tomar conta de toda a instância, acessar senhas armazenadas e modificar fluxos inteiros para servir a outros fins.
A agência americana de segurança cibernética CISA confirmou que a falha já estava sendo explorada ativamente. Por esse motivo, a entidade ordenou que todas as agências federais civis aplicassem a correção até o dia 25 de março. O n8n lançou o patch na versão 1.122.0, mas muitas organizações ainda não se adequaram.
O pesadelo que veio depois
Enquanto o time do n8n ainda lidava com a repercussão da primeira falha, pesquisadores da empresa Cyera reportaram algo pior. A vulnerabilidade batizada de “ni8mare” pelos próprios descobridores recebeu nota máxima, 10.0, e foi registrada como CVE-2026-21858.
Essa segunda falha dispensava qualquer autenticação. Um atacante de fora, sem conta alguma no sistema, conseguia fazer a execução remota de código por causa de um tratamento inadequado dos webhooks da plataforma. Webhooks são gatilhos que o n8n usa para receber informações externas e disparar automações.
Uma terceira onda de vulnerabilidades
Em fevereiro, um novo conjunto de falhas foi agrupado sob o identificador CVE-2026-25049, com nota 9.4. O n8n descreveu essas brechas como variações do problema de dezembro, que abriram caminhos adicionais para explorar o mesmo motor de avaliação de expressões que causou a primeira crise.
O próprio n8n reconheceu em comunicado que usuários autenticados com permissão para criar ou modificar fluxos podiam usar expressões manipuladas para disparar comandos no servidor host. Ou seja, mesmo após os patches anteriores, a superfície de ataque ainda não estava completamente fechada.
O que fazer agora
A correção para todas as falhas conhecidas está disponível. Quem usa o n8n precisa garantir que está rodando uma versão atualizada da plataforma. Para quem mantém instâncias auto-hospedadas, a atenção precisa ser redobrada, já que atualizações automáticas não são a regra nesse modelo.
Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.