Vulnerabilidade no Python Code Node permite que usuários editem fluxos e rodem comandos diretamente no sistema

Servidor – Uma vulnerabilidade considerada crítica foi identificada no n8n, plataforma de código aberto usada para criar e gerenciar fluxos de automação entre serviços, APIs e sistemas. A falha, registrada como CVE-2025-68668 e avaliada com severidade 9,9 em uma escala de 10, permite que invasores executem comandos diretamente no servidor onde a ferramenta está instalada.

O problema afeta usuários que tenham permissão para criar ou editar workflows, algo relativamente comum em ambientes corporativos e colaborativos. A partir desse nível de acesso, um invasor poderia explorar a brecha para rodar códigos arbitrários, ultrapassando os limites de segurança previstos pela plataforma.

LEIA: DeepSeek cresce nos países em desenvolvimento e impulsiona uso de IA

De acordo com o alerta de segurança, a falha está no Python Code Node, recurso que permite a execução de scripts Python dentro dos fluxos do n8n. Esse componente utiliza o Pyodide, um ambiente de execução que deveria isolar o código do restante do sistema. No entanto, um erro no mecanismo de isolamento permite que o código escape do sandbox e execute comandos diretamente no sistema operacional do servidor.

Com isso, um atacante poderia instalar softwares maliciosos, criar acessos ocultos, roubar informações sensíveis, modificar ou interromper automações e até assumir o controle completo do servidor afetado, já que os comandos seriam executados com os mesmos privilégios do processo do n8n.

A equipe do projeto lançou uma correção na versão 1.111.0 da plataforma, que introduz uma nova implementação nativa para a execução de Python, baseada em um modelo de isolamento mais rígido. A partir da versão 2.0.0, esse novo sistema passou a ser o padrão, reduzindo significativamente o risco desse tipo de ataque.

Para usuários que ainda não podem atualizar a plataforma, o comunicado de segurança recomenda medidas temporárias, como desativar o Code Node, remover o suporte a Python nesse recurso ou configurar o uso do novo sandbox baseado em task runner, como forma de mitigar a exposição à falha.

(Com informações de Tecnoblog)
(Foto: Reprodução/Freepik)