n8n

Los investigadores de ciberseguridad han revelado detalles de dos fallas de seguridad ahora parcheadas en el n8n plataforma de automatización del flujo de trabajo, que incluye dos errores críticos que podrían provocar la ejecución arbitraria de comandos.

Las vulnerabilidades se enumeran a continuación:

  • CVE-2026-27577 (Puntuación CVSS: 9,4): escape de un entorno aislado de expresiones que conduce a la ejecución remota de código (RCE)
  • CVE-2026-27493 (Puntuación CVSS: 9.5): evaluación de expresiones no autenticadas a través de los nodos Form de n8n

«El CVE-2026-27577 es un escape aislado en el compilador de expresiones: si falta una mayúscula en la regrabadora AST, el proceso se filtra sin transformarse, lo que da a cualquier expresión autenticada un RCE completo», dijo Eilon Cohen, investigador de Pillar Security, quien descubrió y denunció los problemas, dijo en un informe compartido con The Hacker News.

adsense

La empresa de ciberseguridad describió el CVE-2026-27493 como un «error de doble evaluación» en los nodos de formularios de n8n, del que se podría abusar para inyectar expresiones al aprovechar el hecho de que los puntos finales de los formularios son públicos por diseño y no requieren autenticación ni una cuenta de n8n.

Todo lo que se necesita para una explotación exitosa es aprovechar un formulario público de «Contáctenos» para ejecutar comandos de shell arbitrarios simplemente proporcionando una carga útil como entrada en el campo Nombre.

En un aviso publicado a finales del mes pasado, n8n decía que un usuario autenticado con permiso para crear o modificar flujos de trabajo podría utilizar el CVE-2026-27577 como arma para activar la ejecución no deseada de comandos del sistema en el host que ejecuta n8n mediante expresiones elaboradas en los parámetros del flujo de trabajo.

N8n también señaló que el CVE-2026-27493, cuando se encadena con una expresión de escape de espacio aislado como el CVE-2026-27577, podía «pasar a la ejecución remota de código en el host n8n». Ambas vulnerabilidades afectan a las implementaciones autohospedadas y en la nube de n8n -

  • < 1.123.22, >= 2.0.0= < 2.9.3, and > 2.10.0 < 2.10.1: corregido en las versiones 2.10.1, 2.9.3 y 1.123.22

Si la aplicación inmediata de parches al CVE-2026-27577 no es una opción, se recomienda a los usuarios que limiten los permisos de creación y edición del flujo de trabajo a los usuarios de plena confianza e implementen n8n en un entorno reforzado con privilegios de sistema operativo y acceso a la red restringidos.

En cuanto al CVE-2026-27493, n8n recomienda las siguientes mitigaciones -

  • Revise el uso de los nodos de formulario manualmente para ver las condiciones previas mencionadas anteriormente.
  • Deshabilite el nodo Form añadiendo n8n-nodes-base.form a la variable de entorno NODES_EXCLUDE.
  • Deshabilite el nodo Form Trigger añadiendo N8n-nodes-Base.formTrigger a la variable de entorno NODES_EXCLUDE.

«Estas soluciones alternativas no corrigen completamente el riesgo y solo deben usarse como medidas de mitigación a corto plazo», advierten los mantenedores.

Pillar Security dijo que un atacante podría aprovechar estas fallas para leer la variable de entorno N8N_ENCRYPTION_KEY y usarla para descifrar todas las credenciales almacenadas en la base de datos de n8n, incluidas las claves de AWS, las contraseñas de las bases de datos, los tokens de OAuth y las claves de API.

enlaces

Las versiones 2.10.1, 2.9.3 y 1.123.22 de N8n también resuelven otras dos vulnerabilidades críticas de las que también se podría abusar para lograr la ejecución arbitraria de código:

  • CVE-2026-27495 (Puntuación CVSS: 9,4): un usuario autenticado con permiso para crear o modificar flujos de trabajo podría aprovechar una vulnerabilidad de inyección de código en el entorno limitado de JavaScript Task Runner para ejecutar código arbitrario fuera del límite del entorno limitado.
  • CVE-2026-27497 (Puntuación CVSS: 9.4): un usuario autenticado con permiso para crear o modificar flujos de trabajo podría aprovechar el modo de consulta SQL del nodo Merge para ejecutar código arbitrario y escribir archivos arbitrarios en el servidor n8n.

Además de limitar los permisos de creación y edición del flujo de trabajo a los usuarios de confianza, n8n describe las siguientes soluciones para cada falla:

  • CVE-2026-27495 - Usa el modo de ejecución externo (N8N_Runners_MODE=external) para limitar el radio de la explosión.
  • CVE-2026-27497 - Deshabilite el nodo Merge añadiendo n8n-nodes-base.merge a la variable de entorno NODES_EXCLUDE.

Si bien n8n no menciona que ninguna de estas vulnerabilidades se esté explotando en la naturaleza, se recomienda a los usuarios que mantengan sus instalaciones actualizadas para una protección óptima.

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.