- CVE-2025-8668 no Python Code Node do n8n permite a execução arbitrária de comandos
- Os invasores com essas permissões podem ignorar a sandbox Pyodide, arriscando malware, roubo de dados e comprometimento do sistema.
- Prefixo n8n v1.11.0; O padrão v2.0.0 é um executor de tarefas de isolamento Python seguro
Recentemente, uma vulnerabilidade de gravidade crítica foi descoberta no n8n, permitindo que os agentes de ameaças executassem códigos arbitrários nos sistemas alvo.
n8n é uma ferramenta de automação de fluxo de trabalho de código aberto que permite aos usuários conectar aplicativos, APIs e serviços para automatizar serviços sem codificação pesada. Ele permite que os usuários construam fábricas visuais que movem dados entre ferramentas, acionam ações e executam lógica personalizada.
Em uma política de segurança publicada no GitHub, foi confirmado que a vulnerabilidade contorna o sandbox no Python Code Node, que usa Pyodide, o tempo de execução do Python para o navegador e outros ambientes JavaScript.
gravidade 9,9/10
A falha permite que usuários não autenticados com permissão para criar ou modificar fluxos de trabalho executem comandos arbitrários no sistema host executando n8n, usando os mesmos privilégios do processo n8n.
CVE-2025-68668 foi investigado e a gravidade é 9,9/10 (crítica).
Em teoria, um invasor com credenciais fortes e permissões elaboradas poderia incorporar código Python especialmente criado na estrutura do código Python do Node, saindo do Python e invocando diretivas do sistema. Como comandos arbitrários podem ser executados no host, os invasores implantam malware ou backdoors, roubam dados confidenciais, movem-nos lateralmente através de redes, modificam e interrompem fluxos de trabalho e comprometem completamente o sistema subjacente.
A vulnerabilidade foi corrigida no n8n versão 1.111.0, adicionando uma implementação nativa do cursor em Python que fornece “isolamento mais seguro”. A implementação foi introduzida como um recurso opcional que os usuários podem ativar configurando as variáveis de ambiente N8N_RUNNERS_ENABLED e N8N_NATIVE_PYTHON_RUNNER.
Esta implementação tornou-se padrão a partir da versão 2.0.0 do n8n, disse o comunicado.
Para aqueles que não conseguem acessar a nova versão, existem algumas soluções alternativas disponíveis, incluindo desabilitar o Node Code, desabilitar o suporte Python no Node Code ou configurar o n8n para usar uma função de executor na sandbox do Python.
O caminho Notícias cibernéticas
O melhor antivírus para todos os orçamentos
Siga o TechRadar no Google Notícias e adicione-nos para encomendar a primavera para obter notícias, análises e opiniões de especialistas em seu feed. Certifique-se de clicar no botão Seguir!
E é claro que você também pode Siga o TechRadar no TikTok Receba notícias, análises, unboxings em formato de vídeo e atualizações regulares nossas whatsapp também
