Pesquisadores de cibersegurança tiraram à luz várias vulnerabilidades críticas em n8n, a plataforma de automação de fluxos de trabalho, que foram corrigidas nas últimas entregas do projeto. As falhas permitem desde a execução remota de comandos até a avaliação de expressões sem autenticação através de formulários públicos, e colocam em risco tanto instalações auto-gestionadas como implantaçãos na nuvem.
Duas das falhas mais graves correspondem aos identificadores CVE-2026-27577 e CVE-2026-27493. A primeira constitui uma ruptura do isolamento no compilador de expressões: um caso que não foi tratado dentro do reescritor da árvore de sintaxe abstrata permite que certas expressões sejam executadas sem a transformação de segurança esperada, abrindo a porta à execução de comandos no servidor quando um usuário com permissões suficientes cria ou modifica um fluxo. A segunda aproveita o funcionamento público dos endpoints de formulários de n8n: um mecanismo de dupla avaliação nos nós de formulário pode permitir que um atacante injete expressões maliciosas sem necessidade de autenticar-se, por exemplo, empregando um formulário de contato exposto.
A combinação de ambas as falhas pode ser especialmente perigosa: A avaliação não autenticada de uma expressão em um formulário público pode ser encadeada com um escape do sandbox de expressões para alcançar execução de código no host que corre n8n. Pesquisadores de Pillar Security demonstraram cenários em que bastava introduzir uma carga no campo "Nome" de um formulário para executar comandos no sistema afetado.
Além desses vetores, os mantenedores de n8n corrigiram duas vulnerabilidades críticas adicionais que também poderiam desembocar em execução arbitrária de código: CVE-2026-27495, relacionada com a sandbox do executor de tarefas JavaScript, e CVE-2026-27497, que afeta o modo de consulta SQL do nodo Merge e permitia escrever arquivos arbitrários no servidor.
As versões afectadas abrangem ramos anteriores e meias do projecto: versões anteriores a 1.123.22, a série 2.0.0 até 2.9.2, e a série 2.10.0 até 2.10.0 inclusive. Os adesivos estão disponíveis em 1.123.22, 2.9.3 e 2.10.1. Os avisos oficiais e os detalhes técnicos podem ser consultados nos repositórios de segurança do projeto no GitHub e na análise dos descubridores; para mais contexto técnico e medidas concretas, revisa as entradas nos links da própria comunidade: a nota de segurança de n8n no GitHub e o relatório de Pillar Security.
O risco prático é alto porque, além de executar código, um atacante com sucesso poderia acessar a variável de ambiente que n8n usa para cifrar credenciais ( N8N_ENCRYPTION_KEY) e, com isso, decifra tokens, chaves da AWS, senhas de bases de dados e outros segredos guardados na instância. Por esse motivo, a exploração não só permite o controle do servidor, mas também o compromisso de integrações e serviços ligados desde os fluxos.
Se a actualização imediata não for viável, o n8n recomenda reduzir a superfície de exposição: restringir quem pode criar e editar fluxos —limitando essas permissões a pessoal de confiança plena —, executar n8n em ambientes com privilégios de sistema reduzidos e controles de rede rigorosos, e aplicar mitigações pontuais sobre os nós vulneráveis. As acções temporárias sugeridas incluem a exclusão dos nós de formulário (n8n-nodes-base.formen8n-nodes-base.formTrigger) através da variável de ambienteNODES_EXCLUDE, o uso do modo de runners externos (N8N_RUNNERS_MODE=external) para acotar o alcance do executor JavaScript e a desactivação do nodo Merge se aplicável. Os desenvolvedores de n8n lembram que estas são soluções provisórias e não substituem a instalação dos adesivos oficiais.
Para operadores preocupados com a integridade dos seus ambientes, além de aplicar as atualizações, é aconselhável auditar o uso de nodos de formulário e rotas públicas expostas, rotar chaves e segredos se se suspeitar de compromisso, revisar logs e atividade incomum e fortalecer a segmentação de rede e as políticas de acesso ao redor do servidor de n8n. A consulta de registros e a busca de execuções inesperadas de comandos ou modificações de workflows são passos práticos para detectar tentativas de exploração.
Embora não haja relatórios públicos de exploração em massa em ambientes produtivos até ao momento, a gravidade das falhas e a facilidade de aproveitamento em cenários com formulários públicos tornam a atualização imediata a recomendação principal. Você pode ler as correções nos avisos oficiais de n8n no GitHub e seguir a análise técnica no relatório de Pillar Security para entender melhor as cadeias de ataque e os indicadores de compromisso.
Ligações úteis para aprofundar: explicação e adesivos nas advisories do GitHub sobre CVE-2026-27577 e CVE-2026-27493, análise de Pillar Security sobre a exploração via formulários aqui, e outras correcções ligadas aos avisos de segurança do projecto: CVE-2026-27495 e CVE-2026-27497. Para referências de vulnerabilidades públicas, revisa a entrada correspondente no inventário de NIST/NVD quando disponível: https://nvd.nist.gov.
Em suma, a lição para administradores e equipamentos de segurança é clara: diante de sistemas que permitem executar lógica ou código em tempo de execução, a combinação de endpoints públicos e sandboxes incompletos é um vetor crítico. Aplicar adesivos, reduzir permissões e remover nós desnecessários são medidas imediatas que reduzem o risco enquanto uma resposta mais ampla é completa.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...
PinTheft o exploit público que pode ser root no Arch Linux
Um novo exploit público levou à superfície novamente a fragilidade do modelo de privilégios no Linux: a equipe de V12 Security baniu a falha como PinTheft e publicou um teste de...