Plataforma
nodejs
Componente
n8n
Corrigido em
1.123.23
2.0.1
2.10.1
1.123.22
Uma vulnerabilidade de injeção de expressão de segunda ordem foi descoberta no n8n, especificamente em seus nós de formulário. Essa falha permite que um atacante não autenticado injete e execute expressões n8n arbitrárias ao enviar dados de formulário manipulados. Em combinação com uma possível fuga do sandbox de expressão, essa vulnerabilidade pode escalar para a execução remota de código no host n8n. A versão afetada é anterior a 1.123.22, e a correção já foi disponibilizada.
O impacto desta vulnerabilidade é severo, pois permite a execução remota de código (RCE) no servidor n8n. Um atacante pode explorar essa falha enviando dados de formulário especialmente criados que contêm expressões maliciosas. Essas expressões, se bem construídas, podem escapar do sandbox de expressão e executar comandos arbitrários no sistema operacional subjacente. A exploração bem-sucedida pode resultar em comprometimento total do servidor, incluindo roubo de dados confidenciais, instalação de malware ou uso do servidor como ponto de apoio para ataques adicionais. A complexidade da exploração reside na necessidade de uma configuração específica do workflow, mas o potencial de dano é significativo.
A vulnerabilidade foi divulgada em 2026-02-25. Não há evidências públicas de exploração ativa no momento da divulgação, mas a natureza crítica da vulnerabilidade e a possibilidade de execução remota de código a tornam um alvo atraente para atacantes. A ausência de um KEV (Key Vulnerability Explanation) indica que a vulnerabilidade ainda não foi considerada uma ameaça de alto risco pelo CISA, mas a pontuação CVSS de 9 (CRÍTICO) justifica uma atenção imediata. A existência de um sandbox de expressão, embora projetado para mitigar riscos, pode ter sido contornado, aumentando a probabilidade de exploração.
Organizations heavily reliant on n8n for workflow automation, particularly those with publicly accessible forms or integrations that accept user-provided input, are at significant risk. Environments with legacy n8n configurations or those lacking robust input validation practices are especially vulnerable. Shared hosting environments where multiple users share the same n8n instance also face increased risk due to the potential for cross-tenant exploitation.
• nodejs / server: Monitor n8n logs for unusual expression execution patterns or errors related to expression parsing. Use journalctl -u n8n to filter for relevant log entries.
• nodejs / server: Check for unexpected processes running under the n8n user account using ps aux | grep n8n.
• generic web: Inspect n8n access logs for suspicious requests containing = characters in form parameters, particularly those targeting form submission endpoints. Use curl -v <n8nformendpoint> to test for injection.
• generic web: Review n8n configuration files for any insecure expression handling practices.
disclosure
Status do Exploit
EPSS
0.23% (percentil 46%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o n8n para a versão 1.123.22 ou superior, que inclui a correção para esta vulnerabilidade. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais. Restrinja o acesso aos formulários que utilizam a interpolação de valores fornecidos pelo usuário. Valide e sanitize rigorosamente todos os dados de entrada do usuário para evitar a injeção de expressões maliciosas. Monitore os logs do n8n em busca de atividades suspeitas, como tentativas de executar expressões não autorizadas. Implementar um Web Application Firewall (WAF) com regras para detectar e bloquear padrões de injeção de expressão pode fornecer uma camada adicional de proteção.
Atualize o n8n para a versão 2.10.1, 2.9.3, 1.123.22 ou superior. Se a atualização não for possível imediatamente, revise manualmente o uso de nós de formulário para as condições prévias mencionadas, desabilite o nó de formulário adicionando `n8n-nodes-base.form` à variável de ambiente `NODES_EXCLUDE` e/ou desabilite o nó Form Trigger adicionando `n8n-nodes-base.formTrigger` à variável de ambiente `NODES_EXCLUDE`.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-27493 is a critical remote code execution vulnerability in n8n, allowing attackers to inject and execute arbitrary expressions through crafted form submissions.
You are affected if you are running n8n versions prior to 1.123.22 and have workflows configured with form nodes that interpolate user-provided input.
Upgrade to n8n version 1.123.22 or later. Review and secure workflows using user-provided input as a temporary workaround.
As of now, there are no confirmed reports of active exploitation, but the high CVSS score indicates a potential risk.
Refer to the official n8n security advisory on their website or GitHub repository for detailed information and updates.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.