Vol. 2 (abr. 2026) | Pp. 197–199 | ISSN 3086-6103
Alerta: PoC pública automatiza Execução de Código Remota em ambientes n8n
Uma prova de conceito (PoC) pública voltou a chamar a atenção da comunidade de segurança, evidencia a exploração de duas vulnerabilidades em sistemas n8n, combinando duas CVEs existentes para alcançar uma execução remota de código.
A PoC combina duas CVEs existentes (CVE-2026-21858 e CVE-2025-68613) para criar uma cadeia de execução capaz de explorar ambientes vulneráveis para obter leitura arbitrária de arquivos, seguido pela realização de uma fuga de contêiner, e execução remota de código.
Contexto e Origem
O n8n é uma plataforma de automação de workflows, semelhante ao Microsoft Power Automate e Zapier, com um foco em flexibilidade e self hosting.
A vulnerabilidade decorre do processamento inadequado de requisições HTTP com conteúdo JSON em determinados workflows baseados em Forms, permitindo com que um atacante manipule variáveis internas relacionadas a operações de arquivos, o que leva a possibilidade de uma leitura arbitrária de arquivos presentes no servidor em que o n8n está hospedado.
Execução
O exploit implementa uma cadeia completa de comprometimento, automatizando etapas até o RCE. Esta exploração contudo, depende de condições específicas do n8n. Entre elas:
- A existência de um workflow baseado em Forms com endpoint acessível públicamente
- A presença dos arquivos
~/.n8n/database.sqlitee~/.n8n/config, presentes em instalações padrão do n8n - O ambiente também deve ser exposto a vulnerabilidade CVE-2025-68613
As etapas para a execução do exploit estão descritas abaixo:
- Identificação da versão: o exploit consulta o endpoint
/rest/settings - Leitura arbitrária de arquivos (CVE-2026-21858): O exploit envia uma requisição para um endpoint contendo um workflow baseado em formulários, solicitando arquivos específicos no sistema de onde pode ser extraídas credenciais e dados de recoinassance. Entre eles, alguns arquivos como
- O arquivo
/proc/self/environ, utilizado para obter o HOME utilizado pelo n8n - O arquivo
~/.n8n/configcontendo a encryptionKey utilizada pelo n8n - O banco SQLite utilizado pelo n8n
~/.n8n/database.sqlite
- O arquivo
- Com a encryptionKey e os dados de administrador, o exploit forja um token administrativo para obter acesso privilegiado ao ambiente n8n
- Bypass de Sandbox (CVE-2025-68613): Após a obtenção dos privilégios administrativos, o exploit cria um novo workflow contendo uma expressão JavaScript que explora a CVE-2025-68613, que permite uma fuga de contêiner e obtenção de acesso a máquina hospedando o n8n
- Execução remota: Utilizando o módulo
child_process.execSync(), o atacante consegue executar comandos arbitrários no sistema operacional do servidor. Na PoC em questão, é criado um workflow no n8n que executa um comando escolhido pelo usuário no n8n, provando a exploração.
Software Afetado/Mitigações
A vulnerabilidade afeta versões do n8n até a 1.12.0.
É prudente que organizações que possuem endpoints públicos do n8n que atualizem o n8n a versão 1.121.0 ou superior. Outras mitigações também incluem a segmentação de rede dos ambientes para evitar a exposição de endpoints contendo Forms de n8n públicamente.
Esta PoC evidencia como, no cenário atual, vulnerabilidades afetando um mesmo ambiente são combinadas, amplificando a exploração de sistemas teoricamente apenas expostos a vulnerabilidades menos críticas.
Referências
- [1] Chocapikk. CVE-2026-21858. Disponível em: https://github.com/Chocapikk/CVE-2026-21858/. Acesso em: 8 de julho de 2026.
- [2] National Institute of Standards and Technology (NIST). CVE-2026-21858. National Vulnerability Database (NVD). Disponível em: https://nvd.nist.gov/vuln/detail/CVE-2026-21858. Acesso em: 8 de julho de 2026.
- [3] National Institute of Standards and Technology (NIST). CVE-2025-68613. National Vulnerability Database (NVD). Disponível em: https://nvd.nist.gov/vuln/detail/CVE-2025-68613. Acesso em: 8 de julho de 2026.
Tags: Acesso remoto, n8n, RCE.
Categorias: PoC, Vulnerabilidade.