A agência de cibersegurança americana, CISA, incluiu recentemente uma vulnerabilidade crítica que afeta a plataforma de automação de fluxos de trabalho n8n em seu catálogo Known Exploited Vulnerabilities (KEV). Trata-se da falha atribuída como CVE-2025-68613, com uma pontuação CVSS de 9,9, que em termos simples permite a execução remota de código através de uma injeção nas expressões do motor que avalia os workflows.
n8n é uma ferramenta cada vez mais comum para conectar e automatizar processos entre aplicações: orquestra disparadores, transforma dados e dispara ações sem que você tenha que escrever toda a lógica manualmente. Essa flexibilidade apoia-se num sistema que avalia expressões dinâmicas dentro dos fluxos, e é precisamente nesse ponto onde se encontrou a carta mais perigosa: uma avaliação incorrecta do código dinâmico que pode ser manipulada por um atacante autenticado para executar comandos com os mesmos privilégios do processo de n8n.
Os responsáveis pelo n8n publicaram adesivos em dezembro de 2025 para atenuar a falha (as versões que incluem a correção são, entre outras, 1.120.4, 1.121.1 e 1.122.0). Você pode verificar as notas oficiais e versões no repositório de lançamentos de n8n em GitHub, e o registro do CVE em CVE.org. Apesar da disponibilidade de adesivos, a CISA acrescentou esta falha ao seu catálogo KEV porque há indícios de exploração ativa, tornando-o uma prioridade de segurança para organizações de todo o tipo.
Que um atacante autenticado possa conseguir execução remota não é um detalhe menor: no pior cenário, isto permite controlar total de uma instância, roubar ou alterar dados, modificar máquinas para introduzir comportamentos maliciosos, ou executar operações a nível do sistema. Embora por agora não tenham sido publicados detalhes técnicos sobre como estão sendo explorados na prática, a inclusão em KEV geralmente envolve evidências de uso real em ataques.
O âmbito do problema é relevante: dados públicos da Shadowserver Foundation mostram que há dezenas de milhares de instâncias de n8n acessíveis da Internet sem adesivos — mais de 24.700 no início de fevereiro de 2026 — com uma grande concentração na América do Norte e na Europa. Essa exposição pública facilita que atores maliciosos escaneem, identifiquem e tratem de explorar sistemas vulneráveis.
A situação também gerou achados adicionais: a assinatura Pillar Security divulgou duas falhas críticas no sistema de avaliação de expressões de n8n; um deles, registrado como CVE-2026-27577, foi classificado como um exploit adicional relacionado à mesma família de problemas. Para as agências federais dos Estados Unidos, isso tem uma matiz operacional: as instâncias de n8n no Federal Civilian Executive Branch (FCEB) devem ser sistematicamente corrigidas antes do 25 de Março de 2026, por força da Binding Operational Directive BOD 22-01 sobre gestão de vulnerabilidades.
Se você administra n8n ou depende de instâncias gerenciadas, a recomendação é clara: adiar qualquer complacência e aplica as atualizações publicadas quanto antes. Além do adesivo, você precisa tomar medidas adicionais enquanto você realiza a atualização: restringir o acesso à interface web a intervalos IP confiáveis ou através de VPN, revisar e endurecer controles de autenticação, rotar credenciais e tokens que pudesse usar a plataforma, e monitorar atividade incomum em logs e na rede. A detecção precoce de processos inesperados, conexões salientes atípicas ou mudanças em workflows pode ser a pista que indique uma intrusão.
Nem todas as organizações têm o mesmo risco, mas a combinação de uma falha com pontuação quase máxima, evidência de exploração e dezenas de milhares de instâncias expostas cria um cenário onde agir rapidamente marca a diferença entre um adesivo e uma resposta a incidentes. Se você quiser seguir de perto os alertas oficiais, verifique a publicação de CISA e o catálogo KEV; para aplicar correções, consulte o histórico de versões de n8n no seu repositório. Manter os seus sistemas atualizados e reduzir a superfície de exposição ainda são as melhores defesas contra este tipo de vulnerabilidade.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...
PinTheft o exploit público que pode ser root no Arch Linux
Um novo exploit público levou à superfície novamente a fragilidade do modelo de privilégios no Linux: a equipe de V12 Security baniu a falha como PinTheft e publicou um teste de...