SAFE. Guía para proteger tu vida digital y tu privacidad
Canal de Telegram

6 ene 2026

Segu-Info » , » Vulnerabilidad crítica en n8n permite ejecutar comandos

Vulnerabilidad crítica en n8n permite ejecutar comandos

6 ene 2026, 2:32:00 p.m.   Comenta primero!
  ,  

Se ha revelado una nueva vulnerabilidad de seguridad crítica en n8n, la plataforma de automatización de flujo de trabajo de código abierto, que podría permitir a un atacante autenticado ejecutar comandos arbitrarios del sistema en el host subyacente.

La vulnerabilidad, identificada como CVE-2025-68668 (CVSS: 9.9), se ha descrito como un caso de fallo del mecanismo de protección. A Vladimir Tokarev y Ofek Itach de Cyera Research Labs se les atribuye el descubrimiento y el informe de la falla.

Afecta a las versiones de n8n desde >1.0.0 hasta la <2.0.0, pero no incluida, y permite a un usuario autenticado con permiso crear o modificar flujos de trabajo para ejecutar comandos arbitrarios del sistema operativo en el host que ejecuta n8n. El problema se solucionó en la versión 2.0.0.

"Existe una vulnerabilidad de omisión de sandbox en el nodo de código Python que usa Pyodide", afirma el aviso sobre la falla. "Un usuario autenticado con permiso para crear o modificar flujos de trabajo puede aprovechar esta vulnerabilidad para ejecutar comandos arbitrarios en el sistema host que ejecuta n8n, utilizando los mismos privilegios que el proceso n8n".

N8n dijo que había introducido la implementación nativa de Python basada en el ejecutor de tareas en la versión 1.111.0 como una característica opcional para mejorar el aislamiento de seguridad. La función se puede habilitar configurando las variables de entorno N8N_RUNNERS_ENABLED y N8N_NATIVE_PYTHON_RUNNER. Con el lanzamiento de la versión 2.0.0, la implementación pasó a ser la predeterminada.

Como solución alternativa, n8n recomienda que los usuarios sigan los pasos que se describen a continuación:

  • Deshabilitar el Node Code configurando la variable de entorno NODES_EXCLUDE: "[\"n8n-nodes-base.code\"]"
  • Deshabilitar la compatibilidad con Python en el Node Code, configurando la variable de entorno N8N_PYTHON_ENABLED=false
  • Configurar n8n para usar el entorno limitado de Python basado en el ejecutor de tareas a través de las variables de entorno N8N_RUNNERS_ENABLED y N8N_NATIVE_PYTHON_RUNNER. (Docs)

La divulgación se produce cuando n8n abordó otra vulnerabilidad crítica (CVE-2025-68613, CVSS: 9,9) que podría resultar en la ejecución de código arbitrario en determinadas circunstancias.

Fuente: THN



Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!