Vulnerabilidad n8n CVE-2025-68668
Investigadores de ciberseguridad han revelado una nueva y grave vulnerabilidad en n8n, la popular plataforma de código abierto para la automatización de flujos de trabajo. Esta falla podría permitir que un atacante autenticado ejecute comandos arbitrarios del sistema operativo en el servidor subyacente, lo que podría comprometer por completo el sistema.
El problema se ha identificado como CVE-2025-68668 y tiene una puntuación CVSS de 9,9, lo que lo sitúa en la categoría de gravedad crítica. Se ha clasificado como un fallo del mecanismo de protección.
Tabla de contenido
¿Quién está en riesgo y por qué es importante?
Esta vulnerabilidad afecta a las versiones n8n desde la 1.0.0 hasta la 2.0.0 (excluyendo esta última). Cualquier usuario autenticado con permiso para crear o modificar flujos de trabajo podría aprovechar la falla para ejecutar comandos a nivel de sistema con los mismos privilegios que el proceso n8n.
La debilidad se debe a una omisión del entorno aislado en el nodo de código de Python que depende de Pyodide. Al abusar de este componente, un atacante puede escapar del entorno de ejecución previsto e interactuar directamente con el sistema operativo host.
El problema se ha solucionado completamente en la versión 2.0.0 de n8n.
Análisis técnico: Escape de la zona protegida de Python
Según el aviso oficial, los controles de sandbox del nodo de código Python eran insuficientes, lo que permitía a los atacantes eludir las restricciones y activar la ejecución de comandos arbitrarios. Esto aumenta drásticamente el perfil de riesgo de los sistemas afectados, especialmente en entornos donde varios usuarios pueden diseñar o editar flujos de trabajo.
Mejoras de seguridad y solución a largo plazo de n8n
En respuesta a inquietudes más amplias sobre el sandboxing, n8n introdujo un modelo de ejecución nativo de Python basado en el ejecutor de tareas en la versión 1.111.0 como una función opcional con un aislamiento más seguro. Este modelo se puede habilitar mediante las variables de entorno N8N_RUNNERS_ENABLED y N8N_NATIVE_PYTHON_RUNNER.
Con el lanzamiento de la versión 2.0.0, esta implementación más segura ahora está habilitada de forma predeterminada, cerrando efectivamente la vulnerabilidad.
Mitigaciones recomendadas para sistemas sin parches
Hasta que sea posible actualizar a la versión 2.0.0, n8n recomienda aplicar las siguientes medidas de seguridad temporales:
Deshabilite el nodo de código por completo configurando :
NODOS_EXCLUIDOS: ['n8n-nodes-base.code']
Desactive la compatibilidad con Python en el nodo de código configurando :
N8N_PYTHON_ENABLED=falso
Forzar el uso del entorno aislado de Python basado en el ejecutor de tareas mediante :
N8N_RUNNERS_ENABLED y N8N_NATIVE_PYTHON_RUNNER
Estos pasos reducen significativamente el riesgo de escape del entorno aislado y de ejecución de comandos.
Parte de una tendencia preocupante
Esta divulgación se produce poco después de otra vulnerabilidad crítica de n8n, CVE-2025-68613 (también con una calificación de 9.9 CVSS), que también podría provocar la ejecución de código arbitrario en determinadas circunstancias. En conjunto, estos problemas ponen de relieve la urgente necesidad de que los administradores prioricen las actualizaciones y restrinjan los permisos de los flujos de trabajo.
