A agência de cibersegurança do governo de EE. EUA, CISA, ordenou às dependências federais que atualizem com urgência suas instalações de n8n após se detectar uma vulnerabilidade que já está sendo explorada em ambientes reais. Trata-se de um aviso sério porque n8n não é uma ferramenta marginal: funciona como um motor de automação de fluxos de trabalho muito popular em projetos de ciência de dados e inteligência artificial e nas canalizações de ingestão de dados, com uma comunidade de usuários ampla e descargas massivas tanto em npm como em Docker Hub.
A falha, registrada como CVE-2025-68613, permite a execução remota de código sobre servidores vulneráveis através do sistema que avalia expressões dentro dos fluxos de trabalho. Em termos práticos, um atacante autenticado poderia conseguir que o processo de n8n execute comandos arbitrários e, portanto, comprometer a instância completa com as credenciais do próprio serviço. Isso torna cada instalação num armazém potencial de segredos e um objetivo muito sumosso.
A razão pela qual esta vulnerabilidade é tão perigosa não é apenas a possibilidade de execução remota, mas o tipo de informação que normalmente contém as plataformas de automação: chaves de API, tokens OAuth, credenciais de bases de dados, permissões de armazenamento na nuvem e até segredos usados em processos de integração contínua. Um acesso bem sucedido pode ser traduzido em roubo de dados, manipulação de fluxos automatizados e movimentos laterais dentro da rede.
A equipe de n8n publicou a correção em dezembro na versão v1.122.0 e recomendou que os administradores apliquem imediatamente a atualização. Para as organizações que não possam atualizar imediatamente, os desenvolvedores sugerem medidas temporárias como restringir a criação e edição de fluxos a usuários totalmente confiáveis e limitar privilégios a nível de sistema operacional e acessos de rede, com o objetivo de reduzir a superfície de ataque até que o adesivo seja aplicado.
A urgência da situação ficou patente quando CISA adicionou esta vulnerabilidade ao seu catálogo de Known Exploited Vulnerabilities (KEV) e exigiu às agências do Executivo Federal que remedissem as instâncias afectadas antes de 25 de Março, em conformidade com a directiva operacional vinculativa BOD 22-01. Embora esse mandato afecte apenas entidades federais, CISA encorajou todos os responsáveis pela segurança a agirem sem demora.
Os indicadores de exposição na Internet amplificam a chamada à ação: o grupo de vigilância Shadowserver identificou mais de 40.000 instâncias de n8n sem adesivos acessíveis da rede pública, com uma concentração notável na América do Norte e na Europa. Essa escala sugere que não apenas os atacantes automatizados, mas atores com objetivos específicos, dispõem de um grande campo de ação para buscar e explorar instalações desprotegidas. Você pode consultar o seguimento de Shadowserver no seu painel público aqui.
Além da correção específica para CVE-2025-68613, o próprio projeto n8n tem visto várias falhas críticas nos últimos meses, incluindo uma denominada "Ni8mare" que permitia a atacantes remotos sem privilégios fazer com servidores não adesivos. Esse histórico recente reforça a ideia de que as plataformas que processam automatismos e segredos requerem gestão e monitoramento contínuos, não apenas adesivos pontuais.
Se você gerir instâncias de n8n, é conveniente agir em várias frentes: identificar todas as instalações dentro do inventário da organização, planejar a atualização à versão alterada, rotar chaves e credenciais que possam ter sido expostas e rever logs e detecções em busca de atividade anómala. Em ambientes onde a atualização não seja imediata, aplicar controles de acesso estritos, segmentar a rede e limitar a capacidade dos processos de n8n para executar comandos no sistema pode mitigar riscos até que esteja disponível a correção oficial. O aviso de CISA também lembra que, se não existirem mitigações viáveis, a alternativa responsável é deixar de utilizar o produto temporariamente.
Para aprofundar, consultar a nota de CISA sobre a inclusão da vulnerabilidade no seu catálogo aqui, a informação técnica no registro nacional de vulnerabilidades NVD e o aviso de segurança publicado pela própria equipe de n8n no seu repositório do GitHub, disponível aqui. Estas fontes oferecem os passos concretos para adesivos, assim como recomendações adicionais para reduzir o impacto em caso de não poder actualizar imediatamente.
Em resumo, a combinação de uma ferramenta amplamente utilizada, a capacidade de executar código em nível de processo e a presença de milhares de instâncias expostas faz de CVE-2025-68613 uma dessas vulnerabilidades que não convém ignorar. Actualizar quanto antes, auditar acessos e rotar segredos são ações imprescindíveis para evitar uma intrusão com consequências graves.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...
PinTheft o exploit público que pode ser root no Arch Linux
Um novo exploit público levou à superfície novamente a fragilidade do modelo de privilégios no Linux: a equipe de V12 Security baniu a falha como PinTheft e publicou um teste de...