(Otra) vulnerabilidad crítica en n8n permite ejecutar comandos sin autenticación previa (4 y contando)

Investigadores de ciberseguridad han revelado detalles de otra falla de seguridad de máxima gravedad en n8n, la popular plataforma de automatización de flujos de trabajo, que permite a un atacante remoto no autenticado obtener control total sobre instancias susceptibles.

La vulnerabilidad, identificada como CVE-2026-21858 (CVSS: 10.0), ha sido bautizada como Ni8mare por Cyera Research Labs. El investigador de seguridad Dor Attias fue reconocido por descubrir y reportar la falla el 9 de noviembre de 2025.

afecta a todas las versiones de n8n anteriores a la 1.65.0. Se ha solucionado en la versión 1.121.0, publicada el 18 de noviembre de 2025. Cabe destacar que las últimas versiones de la biblioteca son 1.123.10, 2.1.5, 2.2.4 y 2.3.0.

"Una vulnerabilidad en n8n permite a un atacante acceder a archivos en el servidor subyacente mediante la ejecución de ciertos flujos de trabajo basados ​​en formularios", declaró n8n en un aviso publicado hoy. "Un flujo de trabajo vulnerable podría otorgar acceso a un atacante remoto no autenticado. Esto podría resultar en la exposición de información confidencial almacenada en el sistema y permitir una mayor vulnerabilidad, dependiendo de la configuración de la implementación y el uso del flujo de trabajo".

Con el último desarrollo, n8n ha revelado cuatro vulnerabilidades críticas en las últimas dos semanas:

• CVE-2025-68668 o N8scape (CVSS: 9.9):  vulnerabilidad de omisión de sandbox que podría permitir que un usuario autenticado con permiso para crear o modificar flujos de trabajo ejecute comandos arbitrarios en el sistema que ejecuta n8n (corregido en la versión 2.0.0).
• CVE-2025-68613 (CVSS: 9.9): control inadecuado de los recursos de código gestionados dinámicamente podría permitir a atacantes autenticados ejecutar código remoto (RCE) en determinadas condiciones (corregido en las versiones 1.120.4, 1.121.1 y 1.122.0).
• CVE-2026-21877 (CVSS: 10.0): carga sin restricciones de un archivo tipo peligroso que podría permitir que un atacante autenticado ejecute código a través del servicio n8n, lo que compromete completamente la instancia (corregido en la versión 1.121.3).
• Sin embargo, a diferencia de las anteriores, CVE-2026-21858 no requiere credenciales y aprovecha una falla de confusión de tipo de contenido para extraer secretos confidenciales, falsificar el acceso de administrador e incluso ejecutar comandos arbitrarios en el servidor.

Según los detalles técnicos compartidos por Cyera, el problema principal radica en el webhook y el mecanismo de gestión de archivos de n8n. La vulnerabilidad se produce cuando se ejecuta una función de gestión de archivos sin verificar que el tipo de contenido sea "multipart/form-data" y, por lo tanto, en lugar de copiar un archivo cargado, se puede copiar cualquier archivo local del sistema. Un atacante puede aprovechar la vulnerabilidad para leer archivos arbitrarios de la instancia n8n y escalar a un RCE.

"El alcance de una n8n comprometida es enorme", declaró Cyera. Una instancia n8n comprometida no solo implica la pérdida de un sistema, sino que entrega a los atacantes las claves de todo: credenciales de API, tokens OAuth, conexiones a bases de datos, almacenamiento en la nube, todo centralizado en un solo lugar. N8n se convierte en un punto único de fallo y una mina de oro para los cibercriminales.

Dada la gravedad de la falla, se recomienda a los usuarios actualizar a la versión parcheada o posterior lo antes posible para una protección óptima, evitar la exposición de n8n a Internet y aplicar la autenticación en todos los formularios. Como solución temporal, se recomienda restringir o deshabilitar los webhooks y endpoints de formularios de acceso público.

Fuente: THN

Suscríbete a nuestro Boletín