O n8n emitiu um alerta sobre uma vulnerabilidade de severidade máxima, com CVSS 10.0, que pode levar a execução remota de código (RCE) por um usuário autenticado. Na prática, isso significa que, mesmo exigindo login, a exploração bem-sucedida pode resultar em comprometimento total da instância.
A correção está disponível a partir da versão 1.121.3. Se você usa n8n self-hosted ou n8n Cloud, a recomendação é atualizar o quanto antes e, se não for possível, aplicar mitigação emergencial reduzindo exposição e desabilitando o Git node.
Entenda em 90 segundos
O n8n é uma plataforma open source de automação de workflows, com proposta low-code, muito comum em ambientes de dados, integrações e rotinas de DevOps. Por isso, ele costuma ter acesso a credenciais, APIs e sistemas internos, o que aumenta muito o impacto quando há falhas que permitem execução de código.
Um CVSS 10.0 é raro porque indica um cenário de risco extremo. Neste caso, o próprio projeto alerta que um usuário autenticado pode, sob condições específicas, induzir o serviço do n8n a executar código não confiável, abrindo caminho para tomada completa da instância.
O problema na prática: CVE-2026-21877
A falha foi registrada como CVE-2026-21877 e descrita como Authenticated Remote Code Execution (RCE). Segundo o advisory citado, “sob certas condições, um usuário autenticado pode fazer com que código não confiável seja executado pelo serviço do n8n”, o que “pode resultar em comprometimento total da instância afetada”.
O alerta é particularmente relevante porque o impacto não se limita a instalações locais. Os mantenedores informaram que tanto implantações self-hosted quanto instâncias do n8n Cloud são afetadas.
Um ponto operacional importante do comunicado é o papel do Git node na superfície de ataque. Como medida de redução de risco quando não dá para corrigir imediatamente, o n8n recomenda desabilitar esse nó e restringir o acesso de usuários não confiáveis.
Versões afetadas e correção
A vulnerabilidade afeta versões dentro do seguinte intervalo:
- Afetado: >= 0.123.0 e < 1.121.3
- Seguro: 1.121.3 ou superior
A correção foi incorporada na versão 1.121.3, lançada em novembro de 2025, embora o alerta público esteja ocorrendo agora. O pesquisador Théo Lelasseux foi creditado por descobrir e reportar o problema.
Mitigação de emergência
Se você não consegue atualizar imediatamente, trate como uma redução de exposição até conseguir aplicar o patch.
- Desabilite o Git node
- Limite o acesso a usuários não confiáveis, reduzindo o risco de um usuário autenticado malicioso explorar a falha
Mesmo em ambientes que não expõem o painel publicamente, o risco não desaparece. A ameaça se desloca para dentro, por exemplo, contas internas, acessos compartilhados, usuários com permissões excessivas ou ambientes onde o n8n é usado como “hub” de integrações com segredos e tokens.
Mini-glossário
- RCE (Remote Code Execution): falha que permite executar código arbitrário no servidor alvo, potencialmente assumindo controle do serviço e do ambiente.
- CVSS: sistema de pontuação de severidade de vulnerabilidades. 10.0 indica severidade máxima.
- Self-hosted: instalação operada pela própria equipe, geralmente em VPS, Kubernetes, Docker ou servidor local.