Overview
A plataforma de automação de workflows n8n divulgou uma vulnerabilidade crítica CVE-2025-68613 (CVSS 9.9) que permite execução remota de código através de injeção de expressões maliciosas. A vulnerabilidade afeta todas as versões do n8n a partir da 0.211.0 até versões anteriores a 1.120.4, 1.121.1 e 1.122.0. Há aproximadamente mais de 103 mil instâncias potencialmente vulneráveis expostas na internet, segundo investigações da Censys.
O problema está no sistema de avaliação de expressões de workflows do n8n, onde expressões fornecidas por usuários autenticados durante a configuração de workflows são avaliadas em um contexto de execução que não está suficientemente isolado do runtime subjacente. Assim, atacantes autenticados podem abusar deste comportamento para escapar do sandbox de segurança e executar código arbitrário com os privilégios do processo n8n.
A exploração bem-sucedida pode resultar em comprometimento total da instância n8n, incluindo execução de comandos no sistema operacional, acesso e exfiltração de dados sensíveis, modificação de workflows existentes, e estabelecimento de persistência no servidor comprometido. A criticidade é ainda maior considerando que há uma PoC disponível publicamente, ainda que não existam comprovações de que a falha tenha sido explorada até então. A plataforma de gerenciamento de superfície de ataque Censys reporta que a maioria das instâncias vulneráveis está localizada no Brasil, Estados Unidos, Alemanha, França e Singapura.
Produtos Afetados
| CVE | Severidade | Produto Afetado |
|---|---|---|
| CVE-2025-68613 | Crítica | n8n versões >= 0.211.0 e < 1.120.4 n8n versões >= 0.211.0 e < 1.121.1 n8n versões >= 0.211.0 e < 1.122.0 |
Recomendações
- Atualizar imediatamente todas as instâncias n8n para uma das versões corrigidas: 1.120.4, 1.121.1 ou 1.122.0 ou superior
- Se a atualização imediata não for possível, limitar as permissões de criação e edição de workflows apenas para usuários totalmente confiáveis como medida temporária de mitigação
- Revisar workflows existentes em busca de expressões suspeitas que possam indicar tentativas de exploração
- Garantir que instâncias n8n não estejam expostas diretamente à internet sem autenticação robusta e, preferencialmente, implementar acesso através de VPN ou outros mecanismos de controle de acesso
- Realizar auditoria de logs de acesso e modificações de workflows para identificar possíveis tentativas de exploração anteriores à aplicação do patch
- Monitorar o processo n8n quanto a comportamentos anômalos, como execução de comandos do sistema operacional inesperados ou conexões de rede não autorizadas
Fontes
- GitHub Security Advisory - CVE-2025-68613: Remote Code Execution via Expression Injection
- National Vulnerability Database (NVD) - CVE-2025-68613
- The Hacker News - Critical n8n Flaw (CVSS 9.9) Enables Arbitrary Code Execution Across Thousands of Instances
- Censys Advisory - Critical n8n Vulnerability Allows Remote Code Execution [CVE-2025-68613]
Overview
The n8n workflow automation platform disclosed a critical vulnerability CVE-2025-68613 (CVSS 9.9) that allows remote code execution through malicious expression injection. The vulnerability affects all n8n versions from 0.211.0 up to versions prior to 1.120.4, 1.121.1, and 1.122.0. There are approximately over 103,000 potentially vulnerable instances exposed on the internet, according to investigations by Censys.
The issue lies in n8n's workflow expression evaluation system, where expressions provided by authenticated users during workflow configuration are evaluated in an execution context that is not sufficiently isolated from the underlying runtime. Thus, authenticated attackers can abuse this behavior to escape the security sandbox and execute arbitrary code with the privileges of the n8n process.
Successful exploitation can result in complete compromise of the n8n instance, including operating system command execution, access and exfiltration of sensitive data, modification of existing workflows, and establishment of persistence on the compromised server. The criticality is even greater considering that a PoC is publicly available, although there is no evidence that the flaw has been exploited so far. Censys attack surface management platform reports that most vulnerable instances are located in Brazil, the United States, Germany, France, and Singapore.
Affected Products
| CVE | Severity | Affected Product |
|---|---|---|
| CVE-2025-68613 | Critical | n8n versions >= 0.211.0 and < 1.120.4 n8n versions >= 0.211.0 and < 1.121.1 n8n versions >= 0.211.0 and < 1.122.0 |
Recommendations
- Immediately update all n8n instances to one of the fixed versions: 1.120.4, 1.121.1, or 1.122.0 or higher
- If immediate update is not possible, limit workflow creation and editing permissions to fully trusted users only as a temporary mitigation measure
- Review existing workflows for suspicious expressions that may indicate exploitation attempts
- Ensure n8n instances are not directly exposed to the internet without robust authentication and, preferably, implement access through VPN or other access control mechanisms
- Conduct audit of access logs and workflow modifications to identify possible exploitation attempts prior to patch application
- Monitor the n8n process for anomalous behaviors such as unexpected operating system command execution or unauthorized network connections
Sources
- GitHub Security Advisory - CVE-2025-68613: Remote Code Execution via Expression Injection
- National Vulnerability Database (NVD) - CVE-2025-68613
- The Hacker News - Critical n8n Flaw (CVSS 9.9) Enables Arbitrary Code Execution Across Thousands of Instances
- Censys Advisory - Critical n8n Vulnerability Allows Remote Code Execution [CVE-2025-68613]
Overview
La plataforma de automatización de workflows n8n divulgó una vulnerabilidad crítica CVE-2025-68613 (CVSS 9.9) que permite ejecución remota de código a través de inyección de expresiones maliciosas. La vulnerabilidad afecta a todas las versiones de n8n desde la 0.211.0 hasta versiones anteriores a 1.120.4, 1.121.1 y 1.122.0. Hay aproximadamente más de 103 mil instancias potencialmente vulnerables expuestas en internet, según investigaciones de Censys.
El problema está en el sistema de evaluación de expresiones de workflows de n8n, donde expresiones proporcionadas por usuarios autenticados durante la configuración de workflows son evaluadas en un contexto de ejecución que no está suficientemente aislado del runtime subyacente. Así, atacantes autenticados pueden abusar de este comportamiento para escapar del sandbox de seguridad y ejecutar código arbitrario con los privilegios del proceso n8n.
La explotación exitosa puede resultar en compromiso total de la instancia n8n, incluyendo ejecución de comandos en el sistema operativo, acceso y exfiltración de datos sensibles, modificación de workflows existentes, y establecimiento de persistencia en el servidor comprometido. La criticidad es aún mayor considerando que hay una PoC disponible públicamente, aunque no existen comprobaciones de que la falla haya sido explotada hasta el momento. La plataforma de gestión de superficie de ataque Censys reporta que la mayoría de las instancias vulnerables está ubicada en Brasil, Estados Unidos, Alemania, Francia y Singapur.
Productos Afectados
| CVE | Severidad | Producto Afectado |
|---|---|---|
| CVE-2025-68613 | Crítica | n8n versiones >= 0.211.0 y < 1.120.4 n8n versiones >= 0.211.0 y < 1.121.1 n8n versiones >= 0.211.0 y < 1.122.0 |
Recomendaciones
- Actualizar inmediatamente todas las instancias n8n a una de las versiones corregidas: 1.120.4, 1.121.1 o 1.122.0 o superior
- Si la actualización inmediata no es posible, limitar los permisos de creación y edición de workflows solo a usuarios totalmente confiables como medida temporal de mitigación
- Revisar workflows existentes en busca de expresiones sospechosas que puedan indicar intentos de explotación
- Garantizar que instancias n8n no estén expuestas directamente a internet sin autenticación robusta y, preferentemente, implementar acceso a través de VPN u otros mecanismos de control de acceso
- Realizar auditoría de logs de acceso y modificaciones de workflows para identificar posibles intentos de explotación anteriores a la aplicación del parche
- Monitorear el proceso n8n en cuanto a comportamientos anómalos, como ejecución de comandos del sistema operativo inesperados o conexiones de red no autorizadas
Fuentes
- GitHub Security Advisory - CVE-2025-68613: Remote Code Execution via Expression Injection
- National Vulnerability Database (NVD) - CVE-2025-68613
- The Hacker News - Critical n8n Flaw (CVSS 9.9) Enables Arbitrary Code Execution Across Thousands of Instances
- Censys Advisory - Critical n8n Vulnerability Allows Remote Code Execution [CVE-2025-68613]
Central de Conteúdos SEK
Acesse nossa central de conteúdos e confira os mais recentes relatórios e notícias sobre cibersegurança.
Acessar Central de ConteúdosSEK Content Hub
Access our content hub and check out the latest reports and news on cybersecurity.
Access Content HubCentral de Contenidos SEK
Accede a nuestra central de contenidos y consulta los informes y noticias más recientes sobre ciberseguridad.
Acceder a la Central de Contenidos