Los investigadores de ciberseguridad tienen divulgado dos nuevas fallas de seguridad en la plataforma de automatización del flujo de trabajo n8n, incluida una vulnerabilidad crucial que podría provocar la ejecución remota de código.
Las debilidades, descubiertas por el equipo de investigación de seguridad de JFrog, se enumeran a continuación:
- CVE-2026-1470 (Puntuación CVSS: 9.9) - Un vulnerabilidad de inyección de evaluación eso podría permitir a un usuario autenticado eludir el Mecanismo de espacio aislado de expresiones y lograr la ejecución remota completa de código en el nodo principal de n8n pasando código JavaScript especialmente diseñado
- CVE-2026-0863 (Puntuación CVSS: 8.5): una vulnerabilidad de inyección de evaluación que podría permitir a un usuario autenticado eludir las restricciones del sandbox python-task-executor de n8n y ejecutar código Python arbitrario en el sistema operativo subyacente
La explotación exitosa de las fallas podría permitir a un atacante secuestrar una instancia n8n completa, incluso en escenarios en los que opera en modo de ejecución «interno». En su documentación, n8n notas que el uso del modo interno en los entornos de producción puede suponer un riesgo de seguridad, por lo que se insta a los usuarios a cambiar al modo externo para garantizar un aislamiento adecuado entre los procesos de n8n y los del ejecutor de tareas.
«Dado que n8n abarca toda una organización para automatizar los flujos de trabajo de la IA, contiene las claves de las principales herramientas, funciones y datos de la infraestructura, incluidas las API de LLM, los datos de ventas y los sistemas internos de IAM, entre otros», dijo JFrog en un comunicado compartido con The Hacker News. «Esto se traduce en fugas que dan al hacker una «llave maestra» eficaz para toda la empresa».
Para corregir las fallas, se recomienda a los usuarios que actualicen a las siguientes versiones:
- CVE-2026-1470 - 1.123.17, 2.4.5 o 2.5.1
- CVE-2026-0863 - 1.123.14, 2.3.5 o 2.4.2
El desarrollo se produce apenas unas semanas después de que Cyera Research Labs detallara una falla de seguridad de máxima gravedad en n8n ( CVE-2026-21858 también conocido como Ni8mare) que permite a un atacante remoto no autenticado obtener el control total de las instancias vulnerables.
«Estas vulnerabilidades ponen de relieve lo difícil que es separar de forma segura lenguajes dinámicos y de alto nivel, como JavaScript y Python», afirma el investigador Nathan Nehorai. «Incluso con varias capas de validación, listas de denegación y controles basados en AST, es posible aprovechar las sutiles funciones del lenguaje y los comportamientos en tiempo de ejecución para eludir las suposiciones de seguridad».
«En este caso, las construcciones obsoletas o poco utilizadas, combinadas con los cambios en el intérprete y el comportamiento de gestión de excepciones, fueron suficientes para salir de entornos limitados que de otro modo serían restrictivos y lograr la ejecución remota de código».
Post generado automáticamente, fuente oficial de la información: THEHACKERNEWS