Imprensa

Recentemente foi divulgada uma vulnerabilidade de severidade máxima (CVSS 10.0) no n8n, plataforma amplamente utilizada para automação de workflows e integração de sistemas. A falha, identificada como CVE-2026-21858 e apelidada de “Ni8mare” por pesquisadores de segurança, permite que um atacante execute código remotamente sem necessidade de autenticação em instâncias vulneráveis, podendo levar ao controle total do ambiente afetado.

Resumo da Vulnerabilidade

• A falha permite que um atacante remoto execute código arbitrário em servidores n8n vulneráveis, sem necessidade de credenciais
• A exploração pode resultar no comprometimento completo do servidor, incluindo acesso a dados sensíveis e credenciais utilizadas em integrações
• O problema está associado ao tratamento inadequado de requisições, incluindo endpoints de webhook e upload de arquivos
• A vulnerabilidade recebeu a pontuação 10.0 no CVSS, o nível máximo de criticidade

Impacto Potencial

Ambientes afetados podem ser totalmente controlados por agentes mal-intencionados, expondo:

• Credenciais de API, tokens e segredos utilizados nos workflows
• Conexões com bancos de dados e sistemas internos
• Dados sensíveis e fluxos críticos de negócio

Esse risco é especialmente relevante para organizações que utilizam o n8n como componente central de integração entre sistemas corporativos, aplicações em nuvem e automações operacionais.

Medidas de Mitigação

Os desenvolvedores do n8n já disponibilizaram correções para as versões afetadas. Para organizações que utilizam a plataforma, recomenda-se:

• Atualizar imediatamente para as versões mais recentes que corrigem a falha
• Evitar a exposição direta à Internet sem controles adequados de segurança
• Revisar configurações de webhooks, autenticação e integrações existentes

Operação da Neture

Como provedor de nuvem, informamos que não utilizamos internamente as tecnologias ou componentes afetados por essa vulnerabilidade. Dessa forma, nossas plataformas e serviços não foram impactados por esse incidente específico.

Ainda assim, recomendamos que clientes e parceiros que utilizem n8n em seus próprios ambientes avaliem suas arquiteturas, verifiquem as versões em uso e apliquem as correções recomendadas com prioridade.

Em caso de dúvidas, nossa equipe de atendimento está à disposição.

Em 3 de dezembro de 2025, a equipe do React divulgou uma vulnerabilidade de segurança crítica (nível 10, o mais elevado) (CVE-2025-55182) relativa ao uso de suas Server Components.

Pouco depois, o time do Next.js publicou um comunicado reforçando que aplicações construídas com Next.js também estão expostas a essa falha — registrada como CVE-2025-66478 — quando utilizam o “App Router”.

Nossos ambientes não foram afetados

Reiteramos que nossos ambientes não utilizam React e Next.js em nossas arquiteturas de aplicações, portanto, nossos serviços não foram impactados por essa vulnerabilidade.

O que essa vulnerabilidade permite

A falha permite que um atacante remoto, sem necessidade de autenticação, envie requisições HTTP especialmente criadas que exploram a desserialização insegura de dados no protocolo RSC (“Flight”). Isso pode levar à execução remota de código (RCE) no servidor que hospeda a aplicação.

Há relatos de que, em ambientes na nuvem, cerca de 39% das instâncias escaneadas apresentaram versões vulneráveis de React ou Next.js com RSC habilitado.

Versões vulneráveis e atualizações disponíveis

• React (pacotes RSC como react-server-dom-webpack, react-server-dom-parcel e react-server-dom-turbopack): versões 19.0.0, 19.1.0, 19.1.1 e 19.2.0 são afetadas
• Next.js: versões 15.x e 16.x (quando usam App Router), bem como builds canary a partir da 14.3.0-canary.77, estão vulneráveis

As versões corrigidas já foram liberadas:

• React: 19.0.1, 19.1.2 ou 19.2.1
• Next.js: 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7 ou 16.0.7

Nossos clientes

Essa vulnerabilidade representa um risco real para clientes que hospedem aplicações próprias ou usem stacks que envolvam React 19 e Next.js com Server Components.

Por isso, recomendamos fortemente que os times de desenvolvimento e segurança de nossos clientes revisem suas aplicações, verifiquem dependências, e apliquem os patches o quanto antes, se utilizam React/Next.js.

Recomendações para Mitigação

• Auditar dependências: verificar se há uso de React 19 ou Next.js 15/16 com App Router ou builds canary
• Atualizar imediatamente para as versões corrigidas de React e Next.js informadas acima
• Revisar configurações e práticas de segurança, buscando detecção de acesso suspeito ou requisições anômalas, especialmente em APIs/rotas que usam Server Components
• Consultar times de governança, risco e compliance, avaliando impactos de segurança e continuidade de negócio no contexto das aplicações web expostas

Atualizações

A Cloudflare atualizou seu WAF (Web Application Firewall) com regras novas de bloqueio destas vulnerabilidades, mais informações na fonte oficial: https://blog.cloudflare.com/waf-rules-react-vulnerability/ (em inglês)

Em caso de dúvidas, nossa equipe de atendimento está à disposição.

A comunidade de segurança detectou uma nova campanha massiva de ataque à cadeia de suprimentos de software, apelidada de Shai-Hulud 2.0. Essa ameaça comprometeu dezenas de pacotes do registro npm — amplamente usado no ecossistema Node.js — e gerou uma propagação automática do malware para milhares de repositórios.

O que aconteceu

• A nova versão do ataque utiliza scripts de instalação (lifecycle scripts) para executar o malware durante o momento da instalação dos pacotes
• Diversos pacotes populares foram “trojanizados”, inclusive de projetos de grande visibilidade, o que ampliou o alcance da ameaça
• Estima-se que mais de 700 pacotes npm tenham sido comprometidos, e o número de repositórios (downstream) infectados até o momento ultrapasse 25.000
• A técnica utilizada permite o roubo de credenciais, tokens, chaves de acesso a ambientes de nuvem e segredos de CI/CD, com possível exfiltração automática para repositórios controlados pelos atacantes

Nosso contexto — por que você pode ficar tranquilo

Como provedor de nuvem, nossa infraestrutura não depende de npm ou Node.js para a prestação de serviço, ou seja, não fomos afetados diretamente por esse ataque.

No entanto, o incidente serve como um importante alerta para clientes e parceiros que tenham aplicações com dependências em npm/Node.js. Em projetos onde essas tecnologias forem utilizadas, há um risco real de exposição de credenciais ou dados sensíveis em pipelines de CI/CD ou ambientes de produção.

Recomendações para quem utiliza npm / Node.js

• Verificar se há pacotes infectados nas dependências e removê-los ou atualizá-los para versões seguras
• Bloquear ou restringir scripts automáticos de instalação (preinstall, postinstall) em pipelines de CI/CD
• Rotacionar credenciais sensíveis (tokens, chaves de nuvem, segredos)
• Revisar logs e repositórios públicos em busca de evidências de exfiltração ou repositórios com nomes suspeitos
• Adotar práticas de segurança reforçadas, como controle rígido de acesso, monitoramento contínuo e uso de tokens com escopo mínimo e curta duração

Por que isso importa

Esse incidente ressalta o quanto a cadeia de suprimentos de software — especialmente em ecossistemas amplamente utilizados como npm/Node.js — pode representar um vetor de ataque severo e muitas vezes invisível para empresas de todos os portes. Mesmo fornecedores de infraestrutura devem se manter atentos, pois eventuais aplicações de clientes podem carregar riscos.

Em caso de dúvidas, nossa equipe de atendimento está à disposição.