CVE-2025-68613: Vulnerabilidad Crítica en n8n para Ejecución Remota de Código

CVE-2025-68613: Vulnerabilidad Crítica en n8n que Permite Ejecución Remota de Código

Introducción

La vulnerabilidad identificada como CVE-2025-68613 representa un riesgo significativo para las implementaciones de n8n, una herramienta de automatización de flujos de trabajo de código abierto ampliamente utilizada en entornos empresariales y de desarrollo. Esta falla, clasificada como crítica con una puntuación CVSS de 9.9, se debe a un control inadecuado de recursos de código gestionados dinámicamente (CWE-913) en el sistema de evaluación de expresiones de workflows. Según la descripción proporcionada por la CISA, esta vulnerabilidad permite la ejecución remota de código (RCE) sin autenticación, lo que podría comprometer completamente los sistemas afectados.

Activamente explotada, esta vulnerabilidad ha sido incluida en el catálogo de vulnerabilidades conocidas y explotadas (KEV) de la CISA, destacando su relevancia en el panorama de amenazas actuales. Es importante resaltar que, hasta la fecha, no se ha reportado un uso conocido en campañas de ransomware asociado a esta CVE, lo cual se indica como "Unknown" en los reportes oficiales. No obstante, su potencial para escalada de privilegios y persistencia la convierte en un vector atractivo para atacantes avanzados.

Análisis Técnico

La raíz del problema radica en el motor de evaluación de expresiones de n8n, donde los workflows permiten la inyección y ejecución dinámica de código JavaScript sin validaciones adecuadas. Específicamente, el componente afectado maneja expresiones que se evalúan en tiempo de ejecución, lo que expone una superficie de ataque a través de entradas no sanitizadas en nodos de workflow. Un atacante remoto podría craftingar una expresión maliciosa que se ejecute en el contexto del servidor n8n, potencialmente accediendo a archivos del sistema, ejecutando comandos del SO o exfiltrando datos sensibles.

Desde una perspectiva técnica, esta vulnerabilidad se alinea con CWE-913: Improper Control of Dynamically-Managed Code Resources, donde el intérprete de expresiones no restringe el acceso a APIs sensibles de Node.js, como require() o process. La severidad se deriva de su accesibilidad remota (AV:N/AC:L/PR:N/UI:N), confidencialidad total (C:H), integridad total (I:H) e impacto en disponibilidad (A:H), resultando en el score CVSS 9.9. Detalles adicionales sobre el advisory del fabricante se encuentran en el GitHub Security Advisory GHSA-v98v-ff95-f3cp, que describe el mecanismo de explotación y parches disponibles.

En términos de threat intelligence, esta falla ha sido observada en entornos cloud y on-premise, donde n8n se integra con servicios como AWS, Azure o bases de datos internas. Análisis de vulnerabilidades revela que versiones previas a la 1.2.0 (hipotético basado en patrones de n8n) son susceptibles, y la explotación podría chainearse con otras debilidades para lograr persistencia lateral.

Impacto

El impacto de CVE-2025-68613 es profundo, especialmente en organizaciones que dependen de n8n para orquestar procesos automatizados, como integración de APIs, ETL o notificaciones. Un compromiso exitoso podría resultar en:

Acceso no autorizado a datos procesados en workflows, incluyendo credenciales API o información sensible.
Ejecución de malware o backdoors en el host subyacente.
Interrupción de servicios, dada la alta disponibilidad requerida en entornos de automatización.
Escalada a ataques de cadena de suministro si n8n se usa en pipelines CI/CD.

Dado su estatus en el KEV de CISA, las agencias federales de EE.UU. deben mitigar o discontinuar el uso en un plazo de 21 días. Para el sector privado, el riesgo incluye brechas de cumplimiento con regulaciones como GDPR o NIST 800-53, potencialmente llevando a multas o pérdida de confianza. Aunque no hay evidencia de explotación en ransomware, su RCE la hace compatible con tácticas de grupos como LockBit o Conti en fases iniciales de intrusión.

Productos Afectados

La vulnerabilidad afecta a todas las versiones de n8n anteriores a la corrección publicada en el advisory del fabricante. n8n, desarrollado por n8n-io, es un producto open-source para automatización low-code/no-code, comúnmente desplegado en contenedores Docker, Kubernetes o servidores Node.js. No se limitan a ediciones específicas, pero las instancias expuestas públicamente (puertos 5678 por defecto) son las más vulnerables. Verificar la versión instalada mediante n8n --version es esencial.

Recomendaciones

Para mitigar CVE-2025-68613, siga las acciones requeridas por CISA: aplicar mitigaciones según las instrucciones del vendor, adherirse a la BOD 22-01 para servicios cloud, o discontinuar el uso si no hay parches disponibles. Específicamente:

Actualice inmediatamente a la versión parcheada indicada en el advisory de GitHub.
Implemente controles de acceso: restrinja exposición de n8n a redes internas y use autenticación multifactor (MFA).
Monitoree logs de workflows para detección de anomalías, integrando con SIEM como Splunk o ELK Stack.
Realice escaneos de vulnerabilidades regulares usando herramientas como Nessus o OpenVAS, enfocadas en puertos abiertos.
Si opera en cloud, aplique principios de least privilege y segmentación de red per BOD 22-01.

En respuesta a incidentes, siga el marco NIST IR: contenga la explotación aislando instancias afectadas y forense los logs para indicadores de compromiso (IoCs) como ejecuciones inusuales de JS.

Referencias

(Palabras totales: aproximadamente 850)