# CVE-2025-68613 - n8n Remote Code Execution via Expression Injection > [!danger] CISA KEV - Prazo de Remediação: 2026-03-25 > Esta vulnerabilidade está no **CISA Known Exploited Vulnerabilities Catalog** (adicionada em 2026-03-11). Agências federais dos EUA devem remediar até **2026-03-25**. O prazo já está próximo. Atualizar para n8n **1.120.4 / 1.121.1 / 1.122.0** ou superior com urgência máxima. Mais de 24.700 instâncias expostas na internet sem patch identificadas em fevereiro/2026. > CVSS: 9.8 (Crítico) · EPSS: 76,9% · Vendor: n8n · Patch: Sim · CISA KEV: Sim (2026-03-11) ## Resumo ```mermaid graph TB A["🔍 CVE-2025-68613 · CVSS 9.8<br/>n8n - JavaScript Sandbox Escape"] --> B["🎯 Acessar Instância n8n<br/>Conta com acesso mínimo<br/>24.700+ instâncias expostas"] B --> C["💥 Injeção de Expressão JS<br/>Payload {{ }} em workflow<br/>escapa do sandbox Node.js"] C --> D["🔧 Acesso ao process/require<br/>Módulos Node.js liberados<br/>execução de child_process"] D --> E["🔧 RCE no Servidor n8n<br/>Comandos no SO subjacente<br/>como o processo n8n"] E --> F["💀 Comprometimento do Servidor<br/>CISA KEV - prazo 2026-03-25<br/>exfiltração de workflows e secrets"] classDef critical fill:#c92a2a,stroke:#c92a2a,color:#fff classDef exploit fill:#e67700,stroke:#e67700,color:#fff classDef postexploit fill:#495057,stroke:#343a40,color:#fff classDef impact fill:#1864ab,stroke:#1864ab,color:#fff class A critical class B,C exploit class D,E postexploit class F impact ``` **CVE-2025-68613** é uma vulnerabilidade crítica de **execução remota de código** (RCE) na plataforma de automação de workflows **[[n8n]]**, causada por falha no isolamento do mecanismo de avaliação de expressões JavaScript. A vulnerabilidade permite que usuários autenticados com privilégios mínimos injetem payloads JavaScript maliciosos que escapam do sandbox pretendido e executam comandos arbitrários no sistema operacional subjacente. A falha reside no motor de expressões do [[n8n]], que avalia expressões JavaScript (delimitadas por `{{ }}`) embutidas em configurações de nós de workflow no contexto do runtime Node.js. A implementação falhou em isolar o contexto de avaliação das capacidades internas do Node.js, permitindo acesso ao objeto global, ao objeto `process` e à função `require()` - que fornece acesso ao módulo de execução de processos do sistema. A vulnerabilidade foi divulgada públicamente em **19 de dezembro de 2025** por Fatih Çelik, após a disponibilização de patches em 19 de novembro de 2025. A inclusão no **CISA KEV em 2026-03-11** confirma exploração ativa in-the-wild. **Pontuação de risco:** - CVSS v3.1: **9.8** (Crítico) - vetor: `AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H` - EPSS: **76,9%** de probabilidade de exploração nos próximos 30 dias (percentil ~97) - CISA KEV: **adicionado em 2026-03-11** - prazo de remediação federal: **2026-03-25** - Exploit público: **PoC disponível no GitHub** - scripts de exploração automatizados com suporte a múltiplos alvos ## Impacto Técnico Um atacante que explore esta vulnerabilidade com sucesso pode: - **Execução de código arbitrário no servidor:** executar qualquer comando do sistema operacional com os privilégios do processo n8n - **Exfiltração de credenciais:** acessar o arquivo de configuração contendo `N8N_ENCRYPTION_KEY`, chaves de API, tokens OAuth e credenciais de banco de dados de todos os sistemas integrados ao [[n8n]] - **Comprometimento lateral:** usando as credenciais obtidas, pivotar para todos os serviços conectados ao hub de automação - **Instalação de backdoors persistentes:** modificar workflows existentes para inserir steps maliciosos que persistem após a exploração inicial - **Negação de serviço:** destruir ou corromper workflows críticos, paralisando pipelines de automação de que a organização depende **Vetor de exploração simplificado:** Um payload mínimo de demonstração (sem executar código nocivo) segue a forma: expressão injetada em campo de workflow que acessa o runtime Node.js e invoca execução de processo via módulo nativo do sistema. Scripts de exploração públicos automatizam varredura em massa de alvos vulneráveis. **Impacto para organizações LATAM/Brasil:** O [[n8n]] é amplamente adotado por equipes de desenvolvimento, startups, departamentos de TI e integradores em todo o Brasil nos setores de [[technology]], [[financial]] e [[healthcare|saúde]]. A Censys identificou concentração de instâncias vulneráveis no Brasil entre os cinco países com maior exposição. Como o n8n funciona como hub centralizado de automação - conectando ERPs, CRMs, APIs de pagamento, bancos de dados e serviços de nuvem - seu comprometimento tem efeito multiplicador para todos os sistemas integrados. ## Produtos Afetados | Vendor | Produto | Versão Afetada | Versão com Fix | |--------|---------|----------------|----------------| | n8n | n8n Workflow Automation | 0.211.0 – 1.120.3 | 1.120.4 | | n8n | n8n Workflow Automation | 1.121.0 | 1.121.1 | | n8n | n8n Workflow Automation | 1.122.x < 1.122.0 | 1.122.0 | **Não afetado:** versões anteriores a 0.211.0 (o endpoint de expressões vulnerável não existia), e versões 1.120.4, 1.121.1, 1.122.0 ou superiores com patch aplicado. **Nota:** versões seguintes ao patch inicial (1.122.0+) também resolvem o bypass [[cve-2026-27577|CVE-2026-27577]] descoberto posteriormente pela Pillar Security em fevereiro/2026. ## Patch e Mitigação **Patch oficial:** - Advisory: [GHSA-v98v-ff95-f3cp](https://github.com/n8n-io/n8n/security/advisories/GHSA-v98v-ff95-f3cp) - Versões corrigidas: **1.120.4** / **1.121.1** / **1.122.0** (e superiores) - Data de lançamento do patch: **2025-11-19** **Como aplicar:** Para instâncias Docker (método mais comum): 1. Verificar versão atual: `docker exec [container] n8n --version` 2. Fazer backup do volume de dados n8n antes da atualização 3. Atualizar a imagem: `docker pull n8nio/n8n:latest` (ou versão específica corrigida) 4. Reiniciar container: `docker compose up -d` ou `docker run ...` com a nova imagem 5. Verificar que a versão corrigida está ativa: `docker exec [container] n8n --version` Para instâncias npm: 1. Verificar versão: `n8n --version` 2. Atualizar: `npm update -g n8n` ou `npm install -g [email protected]` 3. Reiniciar o serviço n8n **Mitigações temporárias** (quando patch não é imediatamente possível): - Revogar permissões de criação e edição de workflows de qualquer conta que não necessite estritamente dessa capacidade - Isolar a instância n8n da internet pública via firewall - restringir acesso apenas a IPs internos confiáveis - Ativar autenticação forte (2FA) para todas as contas com acesso ao n8n - Auditar e remover contas inativas, compartilhadas ou de serviço com permissões desnecessárias - Monitorar logs do n8n para criação ou modificação incomum de workflows ## Exploração Ativa **Status atual:** Exploração ativa confirmada - PoC público disponível com automação para varredura em massa **Evidências de uso em ataques:** - **CISA KEV (2026-03-11)**: inclusão na KEV confirma exploração ativa in-the-wild por atores de ameaça - **Censys (2025-12-22)**: identificou ~103.476 instâncias potencialmente vulneráveis expostas globalmente; concentrações nos EUA, Alemanha, França, Brasil e Singapura - **Shadowserver Foundation (fevereiro/2026)**: mais de 24.700 instâncias sem patch ainda expostas à internet - **GitHub (PoC público)**: múltiplos repositórios com scripts de exploração automatizados disponíveis públicamente desde dezembro/2025 - **Atividade no período de festas (dezembro/2025)**: pesquisadores detectaram pico de atividade de exploração durante o período de feriados, quando monitoramento organizacional é reduzido **Vulnerabilidades relacionadas - cadeia n8n:** - [[cve-2026-21858|CVE-2026-21858]] ("Ni8mare") - CVSS 10.0, bypass de autenticação que pode ser encadeado com esta CVE para RCE não autenticado - [[cve-2026-27577|CVE-2026-27577]] - bypass adicional do sandbox descoberto pela Pillar Security; afeta versões com o patch inicial da CVE-2025-68613 ## CISA KEV Esta vulnerabilidade foi adicionada ao **CISA Known Exploited Vulnerabilities (KEV) Catalog** em **2026-03-11**. - **Prazo de remediação para agências federais EUA:** **2026-03-25** - **Recomendação para o setor privado:** atualizar com urgência máxima - o prazo federal está próximo e a exploração ativa é confirmada; mais de 24.000 instâncias ainda vulneráveis na internet - **Referência:** [CISA KEV - CVE-2025-68613](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) ## Detecção e Resposta ### Splunk SPL ```spl index=application sourcetype=n8n:logs OR sourcetype=json | search (message="*workflow*" AND (message="*created*" OR message="*updated*")) | eval suspicious=if(like(message, "%require%") OR like(message, "%process%") OR like(message, "%execSync%"), "CRITICAL", "INFO") | where suspicious="CRITICAL" | table _time, host, user, workflowId, workflowName, message | sort -_time ``` ```spl index=endpoint sourcetype=syslog OR sourcetype=auditd | search (process_name="node" OR process_name="n8n") | search (command_line="*sh -c*" OR command_line="*/bin/bash*" OR command_line="*wget*" OR command_line="*curl*" OR command_line="*/tmp/*") | where NOT match(command_line, "(npm|node_modules|update|install)") | table _time, host, user, process_name, command_line, pid, ppid | sort -_time ``` ### Microsoft Sentinel KQL ```kql // Detecção de criação/modificação suspeita de workflows no n8n SecurityEvent | where TimeGenerated > ago(24h) | where EventID == 4688 | where ParentProcessName contains "node" and ProcessCommandLine has_any ("n8n", "workflow") | where CommandLine has_any ("bash", "sh", "wget", "curl", "python", "perl", "/tmp/") | project TimeGenerated, Computer, Account, ParentProcessName, CommandLine, NewProcessName | order by TimeGenerated desc ``` ```kql // Detecção de processos filhos anômalos gerados pelo runtime Node.js (n8n) DeviceProcessEvents | where TimeGenerated > ago(24h) | where InitiatingProcessFileName in ("node", "node.exe") | where FileName has_any ("bash", "sh", "cmd.exe", "powershell.exe", "wget", "curl") | where not(InitiatingProcessCommandLine contains "npm" or InitiatingProcessCommandLine contains "node_modules") | project TimeGenerated, DeviceName, AccountName, InitiatingProcessFileName, FileName, ProcessCommandLine | order by TimeGenerated desc ``` ### Regra Sigma ```yaml title: n8n CVE-2025-68613 RCE via Expression Injection - Processo Filho Suspeito id: d4e5f6a7-b8c9-0123-defa-123456789003 status: experimental description: > Detecta exploração da CVE-2025-68613 em n8n identificando processos filho suspeitos gerados pelo runtime Node.js do n8n, indicativo de escape bem-sucedido do sandbox de avaliação de expressões. references: - https://github.com/n8n-io/n8n/security/advisories/GHSA-v98v-ff95-f3cp - https://nvd.nist.gov/vuln/detail/CVE-2025-68613 author: RunkIntel date: 2026-03-23 tags: - attack.execution - attack.t1059.007 - attack.initial_access - attack.t1190 - cve.2025-68613 logsource: category: process_creation product: linux detection: selection_parent: ParentImage|endswith: - '/node' - '/n8n' selection_suspicious_child: Image|endswith: - '/bash' - '/sh' - '/python' - '/python3' - '/perl' - '/wget' - '/curl' filter_legitimate: CommandLine|contains: - 'npm' - 'node_modules' - 'yarn' condition: selection_parent and selection_suspicious_child and not filter_legitimate falsepositives: - Scripts de deploy ou manutenção legítimos executados via n8n (documentar exceções) level: critical ``` ### EDR - CrowdStrike Falcon **Custom IOA Rule - spawn de shell a partir do runtime n8n:** ``` Processo pai: node, n8n Linha de comando do pai contém: n8n Processo filho: bash, sh, python, python3, wget, curl, perl Caminho do filho NÃO contém: node_modules, npm, .n8n/nodes ``` **Threat Hunting Query (Falcon Insight/NG-SIEM):** ``` event_simpleName=ProcessRollup2 | search ParentBaseFileName IN (node, n8n) | search FileName IN (bash, sh, python, python3, wget, curl) | eval risk=if(match(CommandLine, "(wget|curl).*(http)"), "EXFIL_RISK", "EXEC_RISK") | table _time, ComputerName, UserName, ParentBaseFileName, FileName, CommandLine, risk | sort -_time ``` ## Notas Relacionadas **CVEs relacionados:** [[cve-2026-21858|CVE-2026-21858]] · [[cve-2026-27577|CVE-2026-27577]] · [[cve-2026-27493|CVE-2026-27493]] **Atores potencialmente explorando:** [[Initial Access Brokers]] · [[Ransomware Groups]] **TTPs relacionadas:** [[t1059-007-javascript|T1059.007 - JavaScript]] · [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] · [[t1078-valid-accounts|T1078 - Valid Accounts]] · [[t1078-valid-accounts|T1552 - Unsecured Credentials]] **Setores em risco:** [[technology]] · [[financial]] · [[healthcare|saúde]] · [[government]]