Expertos en ciberseguridad han informado sobre
una nueva vulnerabilidad crítica en
n8n, una aclamada plataforma de automatización de flujos de trabajo, que
permite que un atacante remoto no autenticado pueda tomar control completo de
instancias vulnerables.
La falla, conocida como
CVE-2026-21858 (CVSS: 10.0), ha sido denominada
Ni8mare
por los laboratorios de investigación de Cyera. El investigador en seguridad Dor Attias fue
reconocido por identificar y reportar esta vulnerabilidad el 9 de noviembre de 2025.
Esta falla afecta todas las versiones de n8n previas a la 1.65.0. Se ha
solucionado en la versión 1.121.0, lanzada el 18 de noviembre de 2025. Las versiones más recientes son 1.123.10, 2.1.5, 2.2.4
y 2.3.0.
«Una vulnerabilidad en n8n permite que un atacante acceda a archivos en el
servidor subyacente mediante la ejecución de ciertos flujos de trabajo
basados en formularios»,
señaló n8n
en una comunicación emitida hoy.
«Un flujo de trabajo vulnerable podría dar acceso a un atacante remoto
no autenticado. Esto podría comprometer información
sensible almacenada en el sistema y abrir la puerta a otras vulnerabilidades,
dependiendo de la configuración de la implementación y del uso del flujo de
trabajo».
En este reciente suceso, n8n ha revelado cuatro vulnerabilidades críticas en
las dos últimas semanas:
-
CVE-2025-68668 o N8scape
(CVSS: 9.9): vulnerabilidad de omisión de sandbox que podría permitir
que un usuario autenticado con permiso para crear o modificar flujos de
trabajo ejecute comandos arbitrarios en el sistema que ejecuta n8n
(corregido en la versión 2.0.0). -
CVE-2025-68613
(CVSS: 9.9): control inadecuado de los recursos de código gestionados
dinámicamente podría permitir a atacantes autenticados ejecutar código
remoto (RCE) en ciertas condiciones (corregido en las versiones
1.120.4, 1.121.1 y 1.122.0). -
CVE-2026-21877
(CVSS: 10.0): carga sin restricciones de un archivo potencialmente peligroso que podría permitir a un atacante
autenticado ejecutar código a través del servicio n8n, comprometiendo completamente la instancia (corregido en la versión 1.121.3). -
Sin embargo, a diferencia de las anteriores,
CVE-2026-21858 no requiere credenciales y se aprovecha de una confusión en el tipo de contenido para extraer secretos confidenciales,
falsificar el acceso de administrador e incluso ejecutar comandos
arbitrarios en el servidor.
Según la información técnica proporcionada por Cyera, el problema principal
se encuentra en el
webhook
y el mecanismo de gestión de archivos de n8n. La vulnerabilidad se origina
cuando se ejecuta una función de gestión de archivos sin asegurarse de que el tipo
de contenido sea «multipart/form-data», permitiendo en vez de copiar el archivo cargado, copiar cualquier archivo local del
sistema. Esto permite a un atacante leer archivos arbitrarios de la instancia n8n y escalar a un RCE.
«El impacto de una instancia de n8n comprometida es inmenso», declaró Cyera. Una
instancia n8n comprometida no solo implica la pérdida de un sistema, sino que
da a los atacantes acceso a todo: credenciales de API, tokens OAuth,
conexiones a bases de datos, almacenamiento en la nube, todo centralizado en
un solo lugar. n8n se convierte en un punto crítico y una mina de oro
para los cibercriminales.
Debido a la gravedad de la vulnerabilidad, se aconseja a los usuarios actualizar a la
versión corregida lo antes posible para garantizar una protección óptima,
evitar exponer n8n a Internet y aplicar autenticación en todos los
formularios. Se sugiere, como medida temporal, restringir o deshabilitar
los webhooks y puntos finales de formularios de acceso público.
Fuente: THN
Con Información de blog.segu-info.com.ar