Vulnerabilidades críticas en n8n permiten ejecución remota de código
Publicado el
Vulnerabilidades en n8n
Recientemente, investigadores de ciberseguridad han identificado dos vulnerabilidades críticas en la plataforma de automatización de flujos de trabajo n8n, las cuales podrían permitir la ejecución remota de código a usuarios autenticados. Estas fallas fueron detectadas por el equipo de JFrog Security Research y están clasificadas como:
- CVE-2026-1470 (puntuación CVSS: 9.9): Esta vulnerabilidad de inyección eval permite a un usuario autenticado eludir el mecanismo de sandboxing de expresión y ejecutar código JavaScript malicioso en el nodo principal de n8n. - CVE-2026-0863 (puntuación CVSS: 8.5): Otra vulnerabilidad de inyección eval que posibilita a un usuario autenticado sortear las restricciones de sandboxing del ejecutor de tareas en Python y ejecutar código Python arbitrario en el sistema operativo subyacente.
Shachar Menashe, vicepresidente de investigación de seguridad en JFrog, explicó que a pesar de que CVE-2026-1470 requiere autenticación, su alta puntuación se debe a que cualquier usuario de n8n puede aprovechar esta vulnerabilidad para tomar el control total de la instancia de n8n, lo cual la convierte en un riesgo considerable. La explotación exitosa de estas vulnerabilidades permitiría a un atacante secuestrar una instancia de n8n, incluso en escenarios donde opera en modo de ejecución "interno".
La documentación de n8n advierte sobre los riesgos de seguridad asociados al uso del modo interno en entornos de producción, recomendando a los usuarios cambiar a modo externo para garantizar una correcta aislación entre n8n y los procesos del ejecutor de tareas. JFrog destacó que dado que n8n se utiliza para automatizar flujos de trabajo de inteligencia artificial en toda una organización, tiene acceso a herramientas, funciones y datos clave, lo que podría proporcionar a un atacante un "esqueleto clave" para comprometer toda la corporación.
Para mitigar estas vulnerabilidades, se aconseja a los usuarios actualizar a las siguientes versiones: - Para CVE-2026-1470: versiones 1.123.17, 2.4.5, o 2.5.1. - Para CVE-2026-0863: versiones 1.123.14, 2.3.5, o 2.4.2.
Este descubrimiento se produce pocas semanas después de que Cyera Research Labs informara sobre otra vulnerabilidad de máxima gravedad en n8n (CVE-2026-21858, apodada Ni8mare), que permite a un atacante remoto no autenticado tomar el control completo de instancias vulnerables. Según datos de Shadowserver Foundation, más de 39,000 instancias de n8n siguen siendo susceptibles a esta falla.
Nathan Nehorai, investigador de JFrog, comentó sobre la dificultad de sandboxing seguro para lenguajes dinámicos y de alto nivel como JavaScript y Python. A pesar de múltiples capas de validación, listas de denegación y controles basados en AST, características sutiles del lenguaje y comportamientos en tiempo de ejecución pueden ser explotados para eludir suposiciones de seguridad. Esto demuestra que incluso construcciones obsoletas o poco utilizadas pueden ser suficientes para romper las restricciones de sandboxing y lograr la ejecución remota de código.