CVE-2025-68697

Nome do Software Vulnerável e Versões Afetadas Versões do n8n anteriores à 2.0.0

Descrição O n8n é uma plataforma de automação de fluxo de trabalho. Em instâncias autohospedadas anteriores à versão 2.0.0, quando o nó Code opera no modo de execução JavaScript legado, usuários autenticados com permissões de edição de fluxo de trabalho podem executar funções internas dentro do nó Code. Isso permite que editores de fluxo de trabalho realizem ações no sistema host com os mesmos privilégios do processo n8n, incluindo ler e gravar arquivos, sujeito a restrições de acesso a arquivos e permissões do SO/container. Estratégias de mitigação incluem restringir o acesso a arquivos a um diretório dedicado usando a variável N8N RESTRICT FILE ACCESS TO, garantir que a variável N8N BLOCK FILE ACCESS TO N8N FILES esteja definida como true e desativar nós de alto risco como o nó Code usando a variável NODES EXCLUDE se os editores de fluxo de trabalho não forem totalmente confiáveis.

Recomendações Atualize para a versão 2.0.0 ou posterior. Defina a variável N8N RESTRICT FILE ACCESS TO para um diretório dedicado que não contenha dados sensíveis. Garanta que a variável N8N BLOCK FILE ACCESS TO N8N FILES esteja definida como true. Desative o nó Code usando a variável NODES EXCLUDE se os editores de fluxo de trabalho não forem totalmente confiáveis.