La Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) el miércoles adicional una falla de seguridad crítica que afecta a n8n y sus vulnerabilidades explotadas conocidas ( KEV ) catálogo, basado en pruebas de explotación activa.

La vulnerabilidad, rastreada como CVE-2025-68613 (puntuación CVSS: 9,9), se refiere a un caso de inyección de expresiones que conduce a la ejecución remota de código. La deficiencia de seguridad era parcheado por n8n en diciembre de 2025 en las versiones 1.120.4, 1.121.1 y 1.122.0. La CVE-2025-68613 es la primera vulnerabilidad de n8n incluida en el catálogo de KEV.

«N8n contiene una vulnerabilidad de control inadecuado de los recursos de código gestionados dinámicamente en su sistema de evaluación de expresiones de flujo de trabajo que permite la ejecución remota de código», afirma CISA.

Según los mantenedores de la plataforma de automatización del flujo de trabajo, un atacante autenticado podría convertir la vulnerabilidad en un arma para ejecutar código arbitrario con los privilegios del proceso n8n.

adsense

La explotación exitosa de la falla podría resultar en un compromiso total de la instancia, lo que permitiría al atacante acceder a datos confidenciales, modificar los flujos de trabajo o ejecutar operaciones a nivel del sistema.

Actualmente no hay detalles sobre cómo se explota la vulnerabilidad en la naturaleza. Datos de la Fundación Shadowserver muestra que había más de 24.700 instancias sin parchear expuestas en línea, de las cuales más de 12.300 estaban ubicadas en Norteamérica y 7.800 en Europa a principios de febrero de 2026.

La incorporación del CVE-2025-68613 se produce cuando Pillar Security reveló dos fallas críticas en n8n, una de las cuales: CVE-2026-27577 (puntuación CVSS: 9,4): se ha clasificado como «vulnerabilidades adicionales» descubiertas en el sistema de evaluación de expresiones del flujo de trabajo tras el CVE-2025-68613.

Se ha ordenado a las agencias del Poder Ejecutivo Civil Federal (FCEB) que parcheen sus n8n instancias antes del 25 de marzo de 2026, tal como lo exige una directiva operativa vinculante (BOD 22-01) emitida en noviembre de 2021.

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.