A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) adicionou uma vulnerabilidade crítica do n8n ao seu catálogo de Vulnerabilidades Conhecidas Exploited (KEV), após evidências de exploração ativa. Identificada como CVE-2025-68613, essa falha de injeção de expressão permite execução remota de código e foi corrigida em dezembro de 2025 nas versões 1.120.4, 1.121.1 e 1.122.0 do n8n.
A falha, com pontuação CVSS de 9.9, é a primeira do n8n a ser incluída no catálogo KEV. Segundo a CISA, o problema reside no controle inadequado de recursos de código dinâmico no sistema de avaliação de expressões do n8n, permitindo que um invasor autenticado execute código arbitrário com os privilégios do processo n8n. A exploração bem-sucedida pode comprometer completamente a instância, permitindo acesso a dados sensíveis e modificação de fluxos de trabalho.
Dados da Shadowserver Foundation indicam que mais de 24.700 instâncias não corrigidas estão expostas online, com mais de 12.300 localizadas na América do Norte e 7.800 na Europa, conforme registrado em fevereiro de 2026. Não há detalhes sobre como a vulnerabilidade está sendo explorada em campo.
Além disso, a Pillar Security revelou duas falhas críticas adicionais no n8n, incluindo a CVE-2026-27577, com pontuação CVSS de 9.4. Agências da Administração Executiva Federal Civil (FCEB) foram instruídas a corrigir suas instâncias do n8n até 25 de março de 2026, conforme uma Diretiva Operacional Vinculante emitida em novembro de 2021.
Fonte:https://thehackernews.com/2026/03/cisa-flags-actively-exploited-n8n-rce.html
