Se utilizas a popular plataforma de automação open-source n8n para gerir os teus fluxos de trabalho, é altura de parar tudo e atualizar o sistema imediatamente. Uma nova vulnerabilidade crítica foi descoberta, permitindo que atacantes escapem às restrições do software e assumam o controlo total do servidor onde este está alojado.
A falha, identificada como CVE-2026-25049, expõe milhares de instâncias a riscos severos de segurança. O problema reside no facto de qualquer utilizador autenticado, com permissão para criar ou editar fluxos de trabalho (workflows), conseguir executar código arbitrário remotamente. Isto significa que um atacante pode não só aceder ao sistema de ficheiros, mas também roubar credenciais, chaves API e tokens OAuth armazenados.
Uma "fuga" que contorna as correções anteriores
O que torna esta situação particularmente alarmante é a persistência do problema. Investigadores de várias empresas de cibersegurança, incluindo a Pillar Security, Endor Labs e SecureLayer7, reportaram que esta vulnerabilidade resulta de uma falha no mecanismo de "higienização" do código da n8n. Pior ainda, esta nova brecha contorna a correção aplicada anteriormente para a falha CVE-2025-68613, que tinha sido resolvida em dezembro.
Segundo a análise aprofundada da Pillar Security, o ataque explora a sandbox baseada em AST (Abstract Syntax Tree) da plataforma. Essencialmente, a sandbox — que deveria isolar o código do utilizador do resto do sistema — é incompleta. Isto permite que expressões JavaScript maliciosas, inseridas num fluxo de trabalho aparentemente inofensivo, ganhem acesso ao objeto global do Node.js e executem comandos no sistema operativo.
As consequências são devastadoras para quem usa a plataforma para gerir processos críticos, especialmente aqueles que envolvem IA. Os atacantes poderiam intercetar prompts, modificar respostas e redirecionar tráfego, além de potencialmente pivotar para outros serviços internos ou contas na cloud conectadas.
Atualização urgente é a única barreira
A equipa da n8n já reconheceu a gravidade da situação e lançou correções. Para estares seguro, deves atualizar a tua instância para as versões 2.5.2 ou 1.123.17 (ou superiores). Conforme detalhado no aviso de segurança oficial, estas versões corrigem a falha de validação de tipos que permitia o ataque.
Caso a atualização imediata não seja possível, os administradores são aconselhados a restringir drasticamente as permissões de criação de workflows apenas a utilizadores de total confiança e a isolar a instância n8n numa rede com privilégios limitados. A SecureLayer7 notou que foram necessárias mais de 150 tentativas falhadas para refinar o bypass, mas agora que o método é conhecido, o risco aumenta exponencialmente.
Embora ainda não existam relatos públicos de exploração massiva desta falha específica, a popularidade da ferramenta tem atraído a atenção de cibercriminosos. Dados recentes da GreyNoise indicam um aumento de atividade suspeita a visar endpoints expostos, com milhares de pedidos a tentarem aceder a ficheiros sensíveis do sistema, procurando roubar dados vitais das empresas.
Nenhum comentário
Seja o primeiro!