Se ha descubierto una nueva vulnerabilidad de seguridad crítica en la plataforma de automatización del flujo de trabajo n8n que, si se explota con éxito, podría provocar la ejecución de comandos arbitrarios del sistema.

La falla, rastreada como CVE-2026-25049 (puntuación CVSS: 9.4), es el resultado de una desinfección inadecuada que elude las medidas de seguridad establecidas para abordar CVE-2025-68613 (puntuación CVSS: 9,9), otro defecto crítico que n8n solucionó en diciembre de 2025.

«Se han identificado y parcheado otros exploits en la evaluación de expresiones de n8n tras el CVE-2025-68613», mantenedores de n8n dijo en un aviso publicado el miércoles.

«Un usuario autenticado con permiso para crear o modificar flujos de trabajo podría abusar de expresiones elaboradas en los parámetros del flujo de trabajo para provocar la ejecución involuntaria de comandos del sistema en el host que ejecuta n8n».

adsense

El problema afecta a las siguientes versiones -

  • <1.123.17 (Solucionado en 1.123.17)
  • <2.5.2 (Corregido en 2.5.2)

Hasta 10 investigadores de seguridad, incluidos Fatih Çelik, que informó del error original CVE-2025-68613, así como Cris Staicu de Endor Labs, Eilon Cohen, de Pillar Security, y Sandeep Kamble, de SecureLayer7, han sido reconocidos por descubrir esta deficiencia.

«Un atacante crea un flujo de trabajo con un webhook de acceso público que no tiene habilitada la autenticación», SecureLayer7 dijo . «Al añadir una sola línea de JavaScript mediante una sintaxis de desestructuración, se puede abusar del flujo de trabajo para ejecutar comandos a nivel del sistema. Una vez expuesto, cualquier usuario de Internet puede activar el webhook y ejecutar comandos de forma remota».

La explotación exitosa de la vulnerabilidad podría permitir a un atacante comprometer el servidor, robar credenciales y extraer datos confidenciales, sin mencionar la posibilidad de que los actores de amenazas instalen puertas traseras persistentes para facilitar el acceso a largo plazo.

La empresa de ciberseguridad también señaló que la gravedad de la falla aumenta significativamente cuando se combina con la función de webhook de n8n, lo que permite al adversario crear un flujo de trabajo mediante un webhook público y añadir una carga útil de ejecución remota de código a un nodo del flujo de trabajo, lo que hace que el webhook sea de acceso público una vez que se activa el flujo de trabajo.

El informe de Pillar tiene descrito el problema consiste en permitir a un atacante robar claves de API, claves de proveedores de nube, contraseñas de bases de datos y tokens de OAuth y acceder al sistema de archivos y a los sistemas internos, pasar a cuentas en la nube conectadas y secuestrar los flujos de trabajo de inteligencia artificial (IA).

«El ataque no requiere nada especial. Si puedes crear un flujo de trabajo, puedes ser el propietario del servidor», dijo Cohen.

Endor Labs, que también compartió detalles sobre la vulnerabilidad, dijo que el problema se debe a las brechas en los mecanismos de desinfección de n8n que permiten eludir los controles de seguridad.

«La vulnerabilidad se debe a una falta de coincidencia entre el sistema de tipos en tiempo de compilación de TypeScript y el comportamiento de tiempo de ejecución de JavaScript», dijo Staicu explicó . «Si bien TypeScript exige que una propiedad sea una cadena en el momento de la compilación, esta aplicación se limita a los valores que están presentes en el código durante la compilación».

«TypeScript no puede hacer cumplir estas comprobaciones de tipo en los valores producidos por el atacante en tiempo de ejecución. Cuando los atacantes crean expresiones maliciosas en tiempo de ejecución, pueden pasar valores que no son cadenas (como objetos, matrices o símbolos), lo que evita por completo la comprobación de desinfección».

enlaces

Si la aplicación inmediata de parches no es una opción, se recomienda a los usuarios que sigan las siguientes soluciones para minimizar el impacto de una posible explotación -

  • Restrinja los permisos de creación y edición de flujos de trabajo únicamente a usuarios de plena confianza
  • Implemente n8n en un entorno reforzado con privilegios de sistema operativo y acceso a la red restringidos

«Esta vulnerabilidad demuestra por qué las múltiples capas de validación son cruciales. Incluso si una capa (los tipos de TypeScript) parece sólida, es necesario realizar comprobaciones adicionales de tiempo de ejecución al procesar entradas que no son de confianza», afirma Endor Labs. «Presta especial atención a las funciones de desinfección durante la revisión del código, buscando suposiciones sobre los tipos de entrada que no se aplican durante el tiempo de ejecución».

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.