Los investigadores de ciberseguridad han detallado dos fallas de seguridad que se han solucionado en la plataforma de automatización del flujo de trabajo n8n. Esto incluye dos errores críticos que podrían provocar la ejecución de comandos arbitrarios.
Las vulnerabilidades se enumeran a continuación:
CVE-2026-27577 (puntuación CVSS: 9,4): escape de la zona de pruebas de expresiones que conduce a la ejecución remota de código (RCE) CVE-2026-27493 (puntuación CVSS: 9,5): evaluación de expresiones no autenticadas a través del nodo de formulario en n8n
«CVE-2026-27577 es un escape de espacio aislado en el compilador de expresiones. Un caso faltante en la reescritura de AST permite que el proceso se escape sin traducir, dando a la expresión autenticada un RCE completo», dijo el investigador de Pillar Security, Eilon Cohen, quien descubrió e informó el problema, en un informe compartido con The Hacker News.
La firma de ciberseguridad describió CVE-2026-27493 como un «error de doble evaluación» en los nodos de formulario de n8n. Este error se puede explotar para la inyección de expresiones aprovechando el hecho de que los puntos finales del formulario son públicos por diseño y no requieren autenticación ni una cuenta n8n.
Todo lo que se requiere para un exploit exitoso es utilizar un formulario de «contáctenos» disponible públicamente para ejecutar comandos de shell arbitrarios simplemente ingresando la carga útil como entrada en el campo de nombre.
En un aviso publicado a finales del mes pasado, n8n dijo que CVE-2026-27577 podría ser utilizado como arma por un usuario autenticado con privilegios para crear o modificar flujos de trabajo para provocar la ejecución involuntaria de comandos del sistema en un host que ejecuta n8n a través de una expresión diseñada en un parámetro de flujo de trabajo.
N8n también señaló que CVE-2026-27493, cuando se encadena con expresiones de escape de sandbox como CVE-2026-27577, podría «escalar a la ejecución remota de código en hosts n8n». Ambas vulnerabilidades afectan las implementaciones autohospedadas y en la nube de n8n.
< 1.123.22、>= 2.0.0 < 2.9.3、および >= 2.10.0 < 2.10.1 - Corregido en las versiones 2.10.1, 2.9.3 y 1.123.22.
Si no es posible aplicar un parche inmediato para CVE-2026-27577, recomendamos restringir la creación de flujos de trabajo y los privilegios de edición a usuarios de plena confianza e implementar n8n en un entorno reforzado con permisos de sistema operativo y acceso a la red limitados.
Con respecto a CVE-2026-27493, n8n recomienda las siguientes mitigaciones:
Verifique manualmente el uso del nodo de formulario para conocer los requisitos previos anteriores. Deshabilite el nodo Formulario agregando n8n-nodes-base.form a la variable de entorno NODES_EXCLUDE. Deshabilite el nodo activador de formulario agregando n8n-nodes-base.formTrigger a la variable de entorno NODES_EXCLUDE.
«Estas soluciones no solucionan completamente el riesgo y sólo deberían utilizarse como mitigación a corto plazo», advirtió el administrador.
Pillar Security dijo que un atacante podría aprovechar estas fallas para leer la variable de entorno N8N_ENCRYPTION_KEY y usarla para descifrar todas las credenciales almacenadas en la base de datos de n8n, incluidas las claves de AWS, las contraseñas de la base de datos, los tokens de OAuth y las claves de API.
Las versiones 2.10.1, 2.9.3 y 1.123.22 de N8n también resuelven dos vulnerabilidades críticas adicionales que podrían explotarse para lograr la ejecución de código arbitrario.
CVE-2026-27495 (puntuación CVSS: 9,4): un usuario autenticado con privilegios para crear o modificar flujos de trabajo podría ejecutar código arbitrario fuera de los límites del entorno limitado al explotar una vulnerabilidad de inyección de código en el entorno limitado de JavaScript Task Runner. CVE-2026-27497 (puntuación CVSS: 9,4): un usuario autenticado con privilegios para crear o modificar flujos de trabajo puede ejecutar código arbitrario y escribir archivos arbitrarios en el servidor n8n aprovechando el modo de consulta SQL en un nodo de combinación.
Además de restringir los privilegios de creación y edición de flujos de trabajo a usuarios confiables, n8n describe las siguientes soluciones para cada falla.
CVE-2026-27495: utilice el modo de corredor externo (N8N_RUNNERS_MODE=externo) para limitar el radio de explosión. CVE-2026-27497: agregue n8n-nodes-base.merge a la variable de entorno NODES_EXCLUDE para deshabilitar los nodos de combinación.
Aunque n8n no menciona que estas vulnerabilidades estén siendo explotadas en la naturaleza, se recomienda a los usuarios que mantengan sus instalaciones actualizadas para una protección óptima.
Source link
