O n8n teve uma vulnerabilidade crítica de execução remota de código identificada como CVE-2026-33660.
O problema recebeu uma pontuação CVSS alta, 9.4, o que indica risco sério para instâncias expostas.
O vetor de ataque envolve o node Merge quando configurado no modo “Combine by SQL”.
Dentro desse modo, a sandbox AlaSQL não impôs restrições suficientes a determinadas instruções SQL, permitindo leitura de arquivos locais no host do n8n.
Essa leitura de arquivos pode ser escalada para execução remota de comandos e comprometimento da instância.
Pesquisas públicas indicavam na data da descoberta mais de 615 mil alvos potencialmente acessíveis identificáveis em motores como FOFA.
As versões vulneráveis são as anteriores a 2.14.1, 2.13.3 e 1.123.27.
- N8n versões anteriores a 2.14.1 são afetadas.
- N8n versões anteriores a 2.13.3 são afetadas.
- N8n versões anteriores a 1.123.27 são afetadas.
A correção oficial já foi publicada e está disponível nessas versões: 2.14.1, 2.13.3 e 1.123.27.
Administradores devem priorizar a atualização imediata das instâncias para uma dessas versões corrigidas.
Como medidas temporárias, recomenda-se restringir quem pode criar e editar workflows para um conjunto de usuários totalmente confiáveis.
Outra mitigação provisória é desabilitar o node Merge configurando a variável de ambiente NODES_EXCLUDE com o valor n8n-nodes-base.merge.
É importante destacar que essas alternativas não eliminam completamente o risco e servem apenas como paliativos até a atualização.
Clientes Qualys podem detectar ativos vulneráveis usando o QID733901.
Recomenda-se também revisar logs de criação e alteração de workflows, auditar permissões e rotacionar credenciais que possam ter sido expostas.
Se sua instância do n8n estiver exposta publicamente, considere isolar o serviço enquanto aplica o patch e faz uma varredura completa por sinais de comprometimento.
Para detalhes técnicos e o comunicado oficial, consulte o advisory no GitHub do n8n.
Link para o advisory do n8n: https://github.com/n8n-io/n8n/security/advisories/GHSA-58qr-rcgv-642v
Se você gerencia plataformas em nuvem ou containers que rodam n8n, confirme também as imagens/container registries e pipelines de CI/CD para garantir que as atualizações sejam aplicadas em todas as camadas.
Em resumo: a falha permite a um usuário com permissões de workflow ler arquivos locais e possivelmente executar código, já existe correção e o passo imediato é atualizar e revisar permissões.
Fique atento a novos comunicados e verifique scanners e inventários para identificar instâncias impactadas em seu ambiente.
