# n8n Workflow Automation > [!critical] n8n — plataforma open-source de automação de workflows com expression injection CVSS 9.9, afetando mais de 24.000 instâncias expostas — muitas delas com acesso a credenciais de APIs corporativas e sistemas internos. ## Visão Geral **n8n** é uma plataforma open-source de automação de workflows low-code/no-code que permite conectar aplicações, serviços web e APIs para automatizar processos de negócio e fluxos de dados. Equivalente open-source a ferramentas como Zapier e Make (ex-Integromat), o n8n ganhou grande adoção entre desenvolvedores e equipes de operações que preferem auto-hospedar suas soluções de automação para manter controle sobre dados e integrações. Em dezembro de 2025, [[cve-2025-68613|CVE-2025-68613]] (CVSS 9.9) revelou uma vulnerabilidade crítica de **expression injection** no mecanismo de avaliação de expressões JavaScript do n8n. O sistema de templates do produto permitia que usuários inserissem expressões dinâmicas nos workflows, mas a sandbox de execução era insuficiente — expressões maliciosas podiam escapar da sandbox e executar código arbitrário com os privilégios do processo n8n no servidor. Em ambientes com configuração padrão, o processo n8n frequentemente possui acesso a variáveis de ambiente contendo credenciais de APIs (Slack, Google, banco de dados, etc.), tornando o impacto muito além da execução de código. A Shodan identificou mais de **24.700 instâncias n8n expostas públicamente** no momento da divulgação, muitas sem autenticação habilitada ou com credenciais padrão. O risco é composto: um atacante que compromete uma instância n8n frequentemente obtém acesso a dezenas de integrações corporativas configuradas nos workflows. > [!latam] Relevância Brasil/LATAM > O n8n tem adoção crescente em startups, fintechs e equipes de operações no Brasil como alternativa de baixo custo a ferramentas de automação proprietárias. Instâncias autohostedadas sem autenticação adequada são vetores de acesso a credenciais corporativas e sistemas internos integrados nos workflows. ## Vulnerabilidades Conhecidas | CVE | CVSS | Exploração | Patch | Data | |-----|------|------------|-------|------| | [[cve-2025-68613\|CVE-2025-68613]] | 9.9 | Ativa - expression injection, sandbox escape, RCE | Sim (1.122.0) | 2025-12 | %% ```dataview TABLE WITHOUT ID link(file.link, title) AS "Nota", cve-id AS "CVE", cvss-score AS "CVSS", exploit-type AS "Exploração", patch-date AS "Patch" FROM "vulnerabilities" WHERE contains(product, "n8n") SORT patch-date DESC ``` %% ## TTPs Associadas - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - exploração da interface web n8n - [[t1059-007-javascript|T1059.007 - JavaScript]] - expression injection via motor JS - [[t1552-unsecured-credentials|T1552 - Unsecured Credentials]] - coleta de credenciais de API das variáveis de ambiente (se disponível no vault) ## Detecção e Defesa - Atualizar n8n para versão 1.122.0 ou superior imediatamente - Habilitar autenticação obrigatória em todas as instâncias n8n expostas - Auditar variáveis de ambiente por credenciais sensíveis desnecessárias - Restringir acesso à interface n8n por VPN ou IP allowlist - Rotacionar credenciais de todas as integrações configuradas após atualização - Aplicar [[m1051-update-software|M1051 - Update Software]] com monitoramento contínuo de versões n8n ## Setores Afetados - [[technology|Tecnologia]] - startups e equipes de produto - [[financial|Financeiro]] - fintechs com automação de processos - [[retail|Varejo]] - e-commerce com automação de pedidos e notificações ## Referências - [n8n Security Advisory - CVE-2025-68613](https://github.com/n8n-io/n8n/security/advisories) - [NVD - CVE-2025-68613](https://nvd.nist.gov/vuln/detail/CVE-2025-68613) - [Shodan - n8n Exposed Instances](https://www.shodan.io) ## Notas Relacionadas **Vendor:** [[_n8n|n8n]] **CVEs:** [[cve-2025-68613|CVE-2025-68613]] **TTPs:** [[t1190-exploit-public-facing-application|T1190]], [[t1059-007-javascript|T1059.007]] **Setores:** [[technology|Tecnologia]], [[financial|Financeiro]]