📰 Informação fresquinha chegando para você!
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Uma nova vulnerabilidade crítica de segurança foi divulgada na plataforma de automação de fluxo de trabalho n8n que, se explorada com sucesso, pode resultar na execução de comandos arbitrários do sistema.
A falha, rastreada como CVE-2026-25049 (pontuação CVSS: 9,4), é o resultado de uma higienização inadequada que contorna as salvaguardas implementadas para resolver CVE-2025-68613 (pontuação CVSS: 9,9), outro defeito crítico que foi corrigido pela n8n em dezembro de 2025.
“Exploits adicionais na avaliação de expressão do n8n foram identificados e corrigidos seguindo CVE-2025-68613”, disseram os mantenedores do n8n em um comunicado divulgado na quarta-feira.
"Um usuário autenticado com permissão para criar ou modificar fluxos de trabalho pode abusar de expressões criadas em parâmetros de fluxo de trabalho para acionar a execução não intencional de comandos do sistema no host executando n8n."
O problema afeta as seguintes versões -
<1.123.17 (corrigido em 1.123.17)
<2.5.2 (corrigido em 2.5.2)
Até 10 pesquisadores de segurança, incluindo Fatih Çelik, que relatou o bug original CVE-2025-68613, bem como Cris Staicu da Endor Labs, Eilon Cohen da Pillar Security e Sandeep Kamble da SecureLayer7, foram reconhecidos por descobrir a deficiência.
Em um aprofundamento técnico expondo CVE-2025-68613 e CVE-2026-25049, Çelik disse que “eles podem ser considerados a mesma vulnerabilidade, já que o segundo é apenas um desvio para a correção inicial”, acrescentando como eles permitem que um invasor escape do mecanismo de sandbox de expressão n8n e contorne as verificações de segurança.
“Um invasor cria um fluxo de trabalho com um webhook acessível publicamente que não possui autenticação habilitada”, disse SecureLayer7. “Ao adicionar uma única linha de JavaScript usando sintaxe de desestruturação, o fluxo de trabalho pode ser abusado para executar comandos em nível de sistema. Uma vez exposto, qualquer pessoa na Internet pode acionar o webhook e executar comandos remotamente.”
A exploração bem-sucedida da vulnerabilidade pode permitir que um invasor comprometa o servidor, roube credenciais e exfiltre dados confidenciais, sem mencionar a abertura de oportunidades para os atores da ameaça instalarem backdoors persistentes para facilitar o acesso a longo prazo.
A empresa de segurança cibernética também observou que a gravidade da falha aumenta significativamente quando combinada com o recurso webhook do n8n, permitindo que um adversário crie um fluxo de trabalho usando um webhook público e adicione uma carga útil de execução remota de código a um nó no fluxo de trabalho, fazendo com que o webhook seja acessível publicamente assim que o fluxo de trabalho for ativado.
O relatório da Pillar descreveu o problema como permitindo que um invasor roube chaves de API, chaves de provedores de nuvem, senhas de bancos de dados, tokens OAuth e acesse o sistema de arquivos e sistemas internos, gire para contas de nuvem conectadas e sequestre fluxos de trabalho de inteligência artificial (IA).
“O ataque não requer nada de especial. Se você puder criar um fluxo de trabalho, poderá possuir o servidor”, disse Cohen.
A Endor Labs, que também compartilhou detalhes da vulnerabilidade, disse que o problema surge de lacunas nos mecanismos de higienização do n8n que permitem contornar os controles de segurança.
“A vulnerabilidade surge de uma incompatibilidade entre o sistema de tipos de tempo de compilação do TypeScript e o comportamento de tempo de execução do JavaScript”, explicou Staicu. "Embora o TypeScript imponha que uma propriedade seja uma string em tempo de compilação, essa imposição é limitada aos valores que estão presentes no código durante a compilação."
"O TypeScript não pode impor essas verificações de tipo em valores produzidos por invasores em tempo de execução. Quando os invasores criam expressões maliciosas em tempo de execução, eles podem passar valores que não sejam de string (como objetos, matrizes ou símbolos) que ignoram totalmente a verificação de sanitização."
Se a correção imediata não for uma opção, os usuários são aconselhados a seguir as soluções alternativas abaixo para minimizar o impacto de uma exploração potencial -
Restringir permissões de criação e edição de fluxo de trabalho apenas a usuários totalmente confiáveis
Implante o n8n em um ambiente protegido com privilégios restritos de sistema operacional e acesso à rede
“Esta vulnerabilidade demonstra por que múltiplas camadas de validação são cruciais. Mesmo que uma camada (tipos TypeScript) pareça forte, verificações adicionais de tempo de execução são necessárias ao processar entradas não confiáveis”, disse Endor Labs. "Preste atenção especial às funções de sanitização durante a revisão do código, procurando suposições sobre tipos de entrada que não são aplicadas em tempo de execução."
(A história foi atualizada após a publicação para incluir informações adicionais publicadas pelo pesquisador de segurança Fatih Çelik.)
A falha, rastreada como CVE-2026-25049 (pontuação CVSS: 9,4), é o resultado de uma higienização inadequada que contorna as salvaguardas implementadas para resolver CVE-2025-68613 (pontuação CVSS: 9,9), outro defeito crítico que foi corrigido pela n8n em dezembro de 2025.
“Exploits adicionais na avaliação de expressão do n8n foram identificados e corrigidos seguindo CVE-2025-68613”, disseram os mantenedores do n8n em um comunicado divulgado na quarta-feira.
"Um usuário autenticado com permissão para criar ou modificar fluxos de trabalho pode abusar de expressões criadas em parâmetros de fluxo de trabalho para acionar a execução não intencional de comandos do sistema no host executando n8n."
O problema afeta as seguintes versões -
<1.123.17 (corrigido em 1.123.17)
<2.5.2 (corrigido em 2.5.2)
Até 10 pesquisadores de segurança, incluindo Fatih Çelik, que relatou o bug original CVE-2025-68613, bem como Cris Staicu da Endor Labs, Eilon Cohen da Pillar Security e Sandeep Kamble da SecureLayer7, foram reconhecidos por descobrir a deficiência.
Em um aprofundamento técnico expondo CVE-2025-68613 e CVE-2026-25049, Çelik disse que “eles podem ser considerados a mesma vulnerabilidade, já que o segundo é apenas um desvio para a correção inicial”, acrescentando como eles permitem que um invasor escape do mecanismo de sandbox de expressão n8n e contorne as verificações de segurança.
“Um invasor cria um fluxo de trabalho com um webhook acessível publicamente que não possui autenticação habilitada”, disse SecureLayer7. “Ao adicionar uma única linha de JavaScript usando sintaxe de desestruturação, o fluxo de trabalho pode ser abusado para executar comandos em nível de sistema. Uma vez exposto, qualquer pessoa na Internet pode acionar o webhook e executar comandos remotamente.”
A exploração bem-sucedida da vulnerabilidade pode permitir que um invasor comprometa o servidor, roube credenciais e exfiltre dados confidenciais, sem mencionar a abertura de oportunidades para os atores da ameaça instalarem backdoors persistentes para facilitar o acesso a longo prazo.
A empresa de segurança cibernética também observou que a gravidade da falha aumenta significativamente quando combinada com o recurso webhook do n8n, permitindo que um adversário crie um fluxo de trabalho usando um webhook público e adicione uma carga útil de execução remota de código a um nó no fluxo de trabalho, fazendo com que o webhook seja acessível publicamente assim que o fluxo de trabalho for ativado.
O relatório da Pillar descreveu o problema como permitindo que um invasor roube chaves de API, chaves de provedores de nuvem, senhas de bancos de dados, tokens OAuth e acesse o sistema de arquivos e sistemas internos, gire para contas de nuvem conectadas e sequestre fluxos de trabalho de inteligência artificial (IA).
“O ataque não requer nada de especial. Se você puder criar um fluxo de trabalho, poderá possuir o servidor”, disse Cohen.
A Endor Labs, que também compartilhou detalhes da vulnerabilidade, disse que o problema surge de lacunas nos mecanismos de higienização do n8n que permitem contornar os controles de segurança.
“A vulnerabilidade surge de uma incompatibilidade entre o sistema de tipos de tempo de compilação do TypeScript e o comportamento de tempo de execução do JavaScript”, explicou Staicu. "Embora o TypeScript imponha que uma propriedade seja uma string em tempo de compilação, essa imposição é limitada aos valores que estão presentes no código durante a compilação."
"O TypeScript não pode impor essas verificações de tipo em valores produzidos por invasores em tempo de execução. Quando os invasores criam expressões maliciosas em tempo de execução, eles podem passar valores que não sejam de string (como objetos, matrizes ou símbolos) que ignoram totalmente a verificação de sanitização."
Se a correção imediata não for uma opção, os usuários são aconselhados a seguir as soluções alternativas abaixo para minimizar o impacto de uma exploração potencial -
Restringir permissões de criação e edição de fluxo de trabalho apenas a usuários totalmente confiáveis
Implante o n8n em um ambiente protegido com privilégios restritos de sistema operacional e acesso à rede
“Esta vulnerabilidade demonstra por que múltiplas camadas de validação são cruciais. Mesmo que uma camada (tipos TypeScript) pareça forte, verificações adicionais de tempo de execução são necessárias ao processar entradas não confiáveis”, disse Endor Labs. "Preste atenção especial às funções de sanitização durante a revisão do código, procurando suposições sobre tipos de entrada que não são aplicadas em tempo de execução."
(A história foi atualizada após a publicação para incluir informações adicionais publicadas pelo pesquisador de segurança Fatih Çelik.)
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #falha #crítica #n8n #cve202625049 #permite #a #execução #de #comandos #do #sistema #por #meio #de #fluxos #de #trabalho #maliciosos
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡
Postar um comentário