CVE-2026-27494

Nome do Software Vulnerável e Versões Afetadas Versões do n8n anteriores a 2.10.1 Versões do n8n anteriores a 2.9.3 Versões do n8n anteriores a 1.123.22

Descrição Um usuário autenticado com permissão para criar ou modificar fluxos de trabalho poderia explorar o nó Código Python para escapar do sandbox. O sandbox não restringiu suficientemente o acesso a certos objetos internos do Python, possivelmente permitindo que um atacante exfiltre conteúdo de arquivos ou obtenha Execução Remota de Código (RCE). Em instâncias que utilizam Task Runners internos (modo de executor padrão), isso poderia levar a um comprometimento total do host do n8n. Em instâncias que utilizam Task Runners externos, um atacante poderia obter acesso a ou impactar outras tarefas executadas no Task Runner. Os Task Runners devem ser habilitados utilizando a variável N8N RUNNERS ENABLED.

Recomendações Atualize para a versão 2.10.1 do n8n ou posterior. Atualize para a versão 2.9.3 do n8n ou posterior. Atualize para a versão 1.123.22 do n8n ou posterior. Caso não seja possível atualizar imediatamente, limite as permissões de criação e edição de fluxos de trabalho apenas a usuários totalmente confiáveis. Caso não seja possível atualizar imediatamente, desative o nó Código adicionando n8n-nodes-base.code à variável de ambiente NODES EXCLUDE.