O Diário do Analista
Vol. 2 (abr. 2026)  |  Pp. 197–199  |  ISSN 3086-6103

Alerta: PoC pública automatiza Execução de Código Remota em ambientes n8n

Uma prova de conceito (PoC) pública voltou a chamar a atenção da comunidade de segurança, evidencia a exploração de duas vulnerabilidades em sistemas n8n, combinando duas CVEs existentes para alcançar uma execução remota de código.
A PoC combina duas CVEs existentes (CVE-2026-21858 e CVE-2025-68613) para criar uma cadeia de execução capaz de explorar ambientes vulneráveis para obter leitura arbitrária de arquivos, seguido pela realização de uma fuga de contêiner, e execução remota de código.


Contexto e Origem

O n8n é uma plataforma de automação de workflows, semelhante ao Microsoft Power Automate e Zapier, com um foco em flexibilidade e self hosting.

A vulnerabilidade decorre do processamento inadequado de requisições HTTP com conteúdo JSON em determinados workflows baseados em Forms, permitindo com que um atacante manipule variáveis internas relacionadas a operações de arquivos, o que leva a possibilidade de uma leitura arbitrária de arquivos presentes no servidor em que o n8n está hospedado.


Execução

O exploit implementa uma cadeia completa de comprometimento, automatizando etapas até o RCE. Esta exploração contudo, depende de condições específicas do n8n. Entre elas:

  • A existência de um workflow baseado em Forms com endpoint acessível públicamente
  • A presença dos arquivos ~/.n8n/database.sqlite~/.n8n/config , presentes em instalações padrão do n8n
  • O ambiente também deve ser exposto a vulnerabilidade CVE-2025-68613

As etapas para a execução do exploit estão descritas abaixo:

  1.  Identificação da versão: o exploit consulta o endpoint /rest/settings
  2. Leitura arbitrária de arquivos (CVE-2026-21858): O exploit envia uma requisição para um endpoint contendo um workflow baseado em formulários, solicitando arquivos específicos no sistema de onde pode ser extraídas credenciais e dados de recoinassance. Entre eles, alguns arquivos como
    1. O arquivo /proc/self/environ, utilizado para obter o HOME utilizado pelo n8n
    2. O arquivo ~/.n8n/config contendo a encryptionKey utilizada pelo n8n
    3. O banco SQLite utilizado pelo n8n ~/.n8n/database.sqlite
  3. Com a encryptionKey e os dados de administrador, o exploit forja um token administrativo para obter acesso privilegiado ao ambiente n8n
  4. Bypass de Sandbox (CVE-2025-68613): Após a obtenção dos privilégios administrativos, o exploit cria um novo workflow contendo uma expressão JavaScript que explora a CVE-2025-68613, que permite uma fuga de contêiner e obtenção de acesso a máquina hospedando o n8n
  5. Execução remota: Utilizando o módulo child_process.execSync(), o atacante consegue executar comandos arbitrários no sistema operacional do servidor. Na PoC em questão, é criado um workflow no n8n que executa um comando escolhido pelo usuário no n8n, provando a exploração.

Software Afetado/Mitigações

A vulnerabilidade afeta versões do n8n até a 1.12.0.

É prudente que organizações que possuem endpoints públicos do n8n que atualizem o n8n a versão 1.121.0 ou superior. Outras mitigações também incluem a segmentação de rede dos ambientes para evitar a exposição de endpoints contendo Forms de n8n públicamente.

Esta PoC evidencia como, no cenário atual, vulnerabilidades afetando um mesmo ambiente são combinadas, amplificando a exploração de sistemas teoricamente apenas expostos a vulnerabilidades menos críticas.


Referências

 

Tags: , , .

Categorias: PoC, Vulnerabilidade.