Uma falha crítica descoberta na plataforma de automação de workflows n8n está colocando milhares de instâncias em risco. Registrada como CVE-2025-68613, a vulnerabilidade foi classificada com pontuação CVSS 9,9, um dos níveis mais altos de gravidade possíveis, indicando um risco severo de execução remota de código.
O n8n é uma ferramenta open source amplamente utilizada por desenvolvedores, equipes DevOps e empresas para criar automações entre sistemas, APIs e serviços. Sua interface low code e flexibilidade tornam a plataforma ideal para integrar tarefas em diversos ambientes corporativos, o que aumenta o impacto potencial da falha. Segundo os pesquisadores responsáveis pela descoberta, o problema ocorre na forma como o n8n interpreta expressões personalizadas usadas na criação de workflows.
A falha permite que um usuário autenticado, mesmo com permissões limitadas, insira código malicioso que é executado diretamente pelo ambiente Node.js que roda o n8n. Isso significa que, uma vez dentro do sistema, um invasor pode abusar dessa brecha para executar comandos com os privilégios do processo da aplicação, acessando dados sensíveis, modificando workflows existentes ou até comprometendo totalmente a máquina onde o serviço está instalado.
A vulnerabilidade afeta múltiplas versões anteriores à correção e representa uma ameaça especialmente perigosa em ambientes onde o n8n é exposto publicamente na internet. A brecha também pode ser explorada em instâncias internas caso o invasor consiga obter credenciais básicas de acesso. Embora ainda não haja relatos confirmados de exploração ativa, a severidade da falha exige ação imediata por parte dos administradores.
A equipe do n8n já lançou uma atualização de segurança que corrige o problema, disponível tanto no GitHub quanto no repositório npm. Usuários devem atualizar suas instâncias para a versão mais recente imediatamente. Além disso, é recomendável restringir o acesso à interface administrativa, aplicar autenticação forte e revisar permissões de usuários que podem criar ou editar workflows.
