CVE-2026-1470

n8n e Versões Afetadas n8n (versões afetadas não especificadas)

Descrição O n8n é afetado por uma vulnerabilidade crítica de Execução Remota de Código (RCE) em seu sistema de avaliação de Expressões do fluxo de trabalho. Um atacante autenticado pode explorar isso para executar código arbitrário com os privilégios do processo n8n. Isso é possível porque as expressões fornecidas por usuários autenticados durante a configuração do fluxo de trabalho são avaliadas em um contexto de execução que não possui isolamento suficiente em relação ao runtime subjacente. A exploração bem-sucedida pode levar ao comprometimento total da instância afetada, potencialmente concedendo acesso não autorizado a dados sensíveis, modificação de fluxos de trabalho e execução de operações em nível de sistema. Aproximadamente 981.000 serviços são estimados como expostos anualmente. A questão envolve contornar o sandbox de Expressão, permitindo a execução de código JavaScript arbitrário.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.