Análise da CVE-2026-25049: Como os Tipos do TypeScript Comprometeram a Segurança do n8n

A CVE-2026-25049 (CVSS 9.4) explora uma falha de type confusion no avaliador de expressões do n8n ️. Essa vulnerabilidade contorna um patch de segurança anterior ao aceitar entradas de objeto no lugar de strings, pois os tipos do TypeScript são removidos em compile-time, impedindo a execução do runtime sanitizer. Atacantes utilizam JavaScript destructuring para acessar o construtor Function e obter RCE não autenticada via endpoints públicos de webhook , expondo credenciais armazenadas, chaves de API e acesso à rede interna. Recomenda-se que os usuários atualizem para as versões n8n 1.123.17 ou 2.5.2 e implementem validação de tipo em runtime, utilizando checks com `typeof` ou uma biblioteca de validação de esquema como Zod ️.