La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó el miércoles una falla de seguridad crítica que afecta a n8n a su catálogo de vulnerabilidades explotadas conocidas (KEV) basándose en evidencia de explotación activa.
Esta vulnerabilidad se rastrea como CVE-2025-68613 (puntuación CVSS: 9,9) e implica un caso de inyección de expresión que podría conducir a la ejecución remota de código. Esta falla de seguridad se corrigió en las versiones 1.120.4, 1.121.1 y 1.122.0 de n8n en diciembre de 2025. CVE-2025-68613 es la primera vulnerabilidad de n8n incluida en el catálogo KEV.
«N8n contiene una vulnerabilidad de control inadecuado en el sistema de evaluación basado en el flujo de trabajo de recursos de código administrados dinámicamente que podría conducir potencialmente a la ejecución remota de código», dijo CISA.
Según el administrador de la plataforma de automatización del flujo de trabajo, esta vulnerabilidad podría ser aprovechada por un atacante autenticado para ejecutar código arbitrario con los privilegios del proceso n8n.
La explotación exitosa de esta falla podría resultar en un compromiso total de una instancia, permitiendo al atacante acceder a datos confidenciales, modificar flujos de trabajo o realizar operaciones a nivel de sistema.
En este momento, se desconocen los detalles sobre cómo se está explotando esta vulnerabilidad en la naturaleza. A principios de febrero de 2026, hay más de 24.700 instancias sin parches en línea, con más de 12.300 en América del Norte y más de 7.800 en Europa, según datos de la Fundación Shadowserver.
La adición de CVE-2025-68613 se produce después de que Pillar Security revelara dos fallas críticas en n8n, una de las cuales, CVE-2026-27577 (puntaje CVSS: 9.4), fue clasificada como un «exploit adicional» descubierto en el sistema de calificación de flujo de trabajo después de CVE-2025-68613.
Se ordenó a las agencias del Poder Ejecutivo Civil Federal (FCEB) que parchearan sus instancias n8n antes del 25 de marzo de 2026, según lo exige la Directiva operativa vinculante (BOD 22-01) emitida en noviembre de 2021.
Source link
