Se ha descubierto una nueva vulnerabilidad de seguridad crítica en n8n, una plataforma de automatización del flujo de trabajo de código abierto, que podría permitir a un atacante autenticado ejecutar comandos arbitrarios del sistema en el host subyacente.

La vulnerabilidad, rastreada como CVE-2025-68668 , tiene una calificación de 9,9 en el sistema de puntuación CVSS. Se ha descrito como un caso de fallo del mecanismo de protección. A Vladimir Tokarev y Ofek Itach, de Cyera Research Labs, se les atribuye el descubrimiento y la denuncia de la falla, cuyo nombre en clave Paisaje N8 .

Afecta a las versiones de n8n desde la 1.0.0 hasta la 2.0.0, pero no incluida, y permite que un usuario autenticado con permiso para crear o modificar flujos de trabajo ejecute comandos arbitrarios del sistema operativo en el host que ejecuta n8n. El problema se solucionó en la versión 2.0.0.

«Existe una vulnerabilidad de elusión de sandbox en el nodo de código de Python que usa Pyodide», un aviso sobre la falla estados . «Un usuario autenticado con permiso para crear o modificar flujos de trabajo puede aprovechar esta vulnerabilidad para ejecutar comandos arbitrarios en el sistema host que ejecuta n8n, utilizando los mismos privilegios que el proceso n8n».

N8n dijo que había introducido Implementación nativa de Python basada en un corredor de tareas en la versión 1.111.0 como función opcional para mejorar el aislamiento de seguridad. La función se puede habilitar configurando las variables de entorno N8N_RUNNERS_ENABLED y N8N_NATIVE_PYTHON_RUNNER. Con el lanzamiento de la versión 2.0.0, la implementación pasó a ser la predeterminada.

Como solución alternativa, n8n recomienda que los usuarios sigan los pasos que se describen a continuación:

  • Deshabilite el nodo de código configurando la variable de entorno NODES_EXCLUDE: «[\" n8n-nodes-base.code\ "]»
  • Deshabilite la compatibilidad con Python en el nodo Código configurando la variable de entorno N8N_PYTHON_ENABLED=false
  • Configure n8n para usar el entorno limitado de Python basado en el ejecutor de tareas mediante las variables de entorno N8N_RUNNERS_ENABLED y N8N_NATIVE_PYTHON_RUNNER

La revelación se produce cuando n8n abordó otra vulnerabilidad crítica ( CVE-2025-68613 , puntuación CVSS: 9,9) que podría provocar la ejecución arbitraria de código en determinadas circunstancias.

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.