Vulnerabilidad n8n CVE-2026-25049
Una vulnerabilidad de seguridad recientemente descubierta en la plataforma de automatización de flujos de trabajo n8n permite la ejecución arbitraria de comandos del sistema bajo ciertas condiciones. La falla se identifica como CVE-2026-25049 y tiene una puntuación CVSS de 9,4, lo que refleja su gravedad crítica. Si se explota con éxito, permite a los atacantes ejecutar comandos a nivel de sistema en el servidor que aloja n8n.
Tabla de contenido
Evitar una vulnerabilidad previamente parcheada
La vulnerabilidad CVE-2026-25049 se debe a una sanitización insuficiente que elude las protecciones introducidas para remediar la vulnerabilidad CVE-2025-68613 (CVSS 9.9), parcheada en diciembre de 2025. Análisis posteriores han demostrado que la nueva vulnerabilidad CVE es, en realidad, una evasión de la corrección original, en lugar de un problema completamente independiente. Los investigadores han demostrado que ambas vulnerabilidades permiten a los atacantes evadir el entorno de pruebas de expresiones de n8n y eludir las comprobaciones de seguridad existentes. Tras la divulgación previa, también se identificaron y abordaron debilidades adicionales en la evaluación de expresiones.
Prerrequisitos de ataque y mecanismos de explotación
Cualquier usuario autenticado con permiso para crear o modificar flujos de trabajo puede explotar esta vulnerabilidad. Al inyectar expresiones manipuladas en los parámetros del flujo de trabajo, es posible activar la ejecución no deseada de comandos del sistema. Un escenario particularmente peligroso consiste en crear un flujo de trabajo que exponga un webhook de acceso público sin autenticación. Al incrustar una sola línea de JavaScript con sintaxis de desestructuración, los atacantes pueden provocar que el flujo de trabajo ejecute comandos del sistema. Una vez activado dicho flujo de trabajo, cualquier tercero puede activar el webhook y ejecutar comandos de forma remota.
La gravedad se agrava aún más al combinarse con la funcionalidad de webhook de n8n, que permite exponer públicamente flujos de trabajo maliciosos. En estos casos, la explotación no requiere privilegios elevados más allá de la creación del flujo de trabajo, lo que subraya el riesgo que los investigadores resumen como: si se permite la creación del flujo de trabajo, se puede comprometer completamente el servidor.
Causa raíz: Brechas en la aplicación de tipos y abuso del tiempo de ejecución
La vulnerabilidad surge de deficiencias en los mecanismos de sanitización de n8n y de una discrepancia fundamental entre el sistema de tipos en tiempo de compilación de TypeScript y el comportamiento de JavaScript en tiempo de ejecución. Si bien TypeScript aplica restricciones de tipo durante la compilación, no puede garantizarlas para valores controlados por el atacante introducidos en tiempo de ejecución. Al proporcionar valores que no son cadenas, como objetos o matrices, los atacantes pueden eludir la lógica de sanitización que asume la entrada de solo cadenas, neutralizando así eficazmente los controles de seguridad críticos.
Impacto potencial en los sistemas y los datos
Una explotación exitosa puede comprometer por completo el servidor. Los atacantes podrían robar credenciales, extraer datos confidenciales, acceder al sistema de archivos y a los servicios internos, migrar a entornos de nube conectados y secuestrar flujos de trabajo de inteligencia artificial. La posibilidad de instalar puertas traseras persistentes aumenta aún más el riesgo de acceso encubierto a largo plazo.
Versiones afectadas y guía de mitigación
La vulnerabilidad afecta a versiones de n8n anteriores a las versiones parcheadas y fue descubierta gracias a la contribución de diez investigadores de seguridad independientes. Las siguientes versiones se ven afectadas, junto con las medidas de mitigación provisionales recomendadas cuando la aplicación inmediata de parches no es posible:
Versiones afectadas: versiones n8n anteriores a 1.123.17 y 2.5.2, donde se han publicado correcciones.
Mitigaciones recomendadas: restringir la creación y edición del flujo de trabajo a usuarios totalmente confiables e implementar n8n en un entorno reforzado con privilegios de sistema operativo restringidos y acceso a la red limitado.
Este problema resalta la necesidad de estrategias de validación por capas. Las garantías en tiempo de compilación deben complementarse con verificaciones estrictas en tiempo de ejecución, especialmente al manejar entradas no confiables. Las revisiones de código deben centrarse en rutinas de limpieza y evitar suposiciones sobre tipos de entrada que no se aplican en tiempo de ejecución.
Vulnerabilidades n8n adicionales de alta gravedad
Además de CVE-2026-25049, n8n ha publicado avisos para cuatro fallas de seguridad adicionales, dos de las cuales se consideran críticas:
CVE-2026-25053 (CVSS 9.4) : Inyección de comandos del sistema operativo en el nodo Git, lo que permite a los usuarios autenticados con permisos de flujo de trabajo ejecutar comandos o leer archivos arbitrarios; corregido en las versiones 2.5.0 y 1.123.10.
CVE-2026-25054 (CVSS 8.5) : Vulnerabilidad de secuencias de comandos entre sitios almacenadas en un componente de representación de rebajas, que permite la ejecución de secuencias de comandos con privilegios del mismo origen y posible apropiación de cuentas; corregido en las versiones 2.2.1 y 1.123.9.
CVE-2026-25055 (CVSS 7.1) : Problema de recorrido de ruta en el nodo SSH que puede provocar escrituras de archivos en ubicaciones no deseadas y posible ejecución remota de código en los sistemas de destino; corregido en las versiones 2.4.0 y 1.123.12.
CVE-2026-25056 (CVSS 9.4) : vulnerabilidad de escritura arbitraria de archivos en el modo de consulta SQL del nodo Merge, que potencialmente resulta en ejecución remota de código; corregido en las versiones 2.4.0 y 1.118.0.
Actualización urgente para reducir el riesgo
Dada la amplitud y gravedad de las vulnerabilidades identificadas, se recomienda encarecidamente actualizar las implementaciones de n8n a las últimas versiones disponibles. La rápida aplicación de parches sigue siendo la defensa más eficaz contra la explotación y su posterior vulneración.
