CISA advierte sobre la explotación del fallo RCE en n8n con 24,700 instancias expuestas
Publicado el
Advertencia de CISA sobre vulnerabilidad crítica en n8n
La Agencia de Seguridad Cibernética e Infraestructura de EE.UU. (CISA) ha añadido una vulnerabilidad crítica en n8n a su catálogo de Vulnerabilidades Conocidas Explotadas (KEV), tras recibir informes de su explotación activa. Esta vulnerabilidad, identificada como CVE-2025-68613, tiene un puntaje CVSS de 9.9, lo que indica su gravedad.
El problema radica en una inyección de expresiones que permite la ejecución remota de código. n8n corrigió esta falla en diciembre de 2025 en las versiones 1.120.4, 1.121.1 y 1.122.0. Este es el primer fallo de n8n que se incluye en el catálogo KEV. CISA ha explicado que la vulnerabilidad se debe a un control inadecuado de los recursos de código gestionados dinámicamente en su sistema de evaluación de expresiones de flujo de trabajo, lo que posibilita a un atacante autenticado ejecutar código arbitrario con los privilegios del proceso n8n.
La explotación exitosa de esta vulnerabilidad puede llevar a una compromiso total de la instancia afectada, permitiendo al atacante acceder a datos sensibles, modificar flujos de trabajo o realizar operaciones a nivel de sistema. A pesar de la gravedad de la situación, hasta el momento no se han revelado detalles sobre cómo se está llevando a cabo la explotación en entornos reales.
Según datos de la Fundación Shadowserver, hay más de 24,700 instancias no parcheadas expuestas en línea, de las cuales más de 12,300 se encuentran en América del Norte y 7,800 en Europa a inicios de febrero de 2026.
La inclusión de CVE-2025-68613 se produce en un contexto en el que Pillar Security ha revelado dos fallos críticos adicionales en n8n, uno de los cuales, CVE-2026-27577 (con un CVSS de 9.4), ha sido clasificado como "explotaciones adicionales" descubiertas en el sistema de evaluación de expresiones de flujo de trabajo, tras el descubrimiento de CVE-2025-68613.
Agencias del Federal Civilian Executive Branch (FCEB) han sido instruidas para que parchen sus instancias de n8n antes del 25 de marzo de 2026, cumpliendo con una Directiva Operacional Vinculante (BOD 22-01) emitida en noviembre de 2021. Es crucial que las organizaciones afectadas actúen rápidamente para mitigar el riesgo de explotación.