n8n: Vulnerabilidade de bypass do validador AST no nó Python Code
Usuários autenticados com permissão para criar ou modificar workflows que contenham um nó Python Code podem contornar o validador de segurança AST e acessar o namespace do módulo executor de tarefas.
O que mudou
Usuários autenticados com permissão para criar ou modificar workflows que contenham um nó Python Code podem contornar o validador de segurança AST e acessar o namespace do módulo executor de tarefas. Em instâncias auto-hospedadas com N8N_BLOCK_RUNNER_ENV_ACCESS=false, isso se estende à exposição de variáveis de ambiente.
Quem isso afeta
Instâncias onde o Python Task Runner está habilitado e N8N_BLOCK_RUNNER_ENV_ACCESS=true.
O que fazer hoje
Atualize para n8n versões 2.25.7 ou 2.26.2 para corrigir a vulnerabilidade. Se a atualização não for possível imediatamente, limite as permissões de criação e edição de workflows a usuários confiáveis, desabilite o nó Python Code via NODES_EXCLUDE ou desabilite completamente o Python Task Runner.