Los investigadores de ciberseguridad han descubierto dos nuevos fallos de seguridad en la plataforma de automatización del flujo de trabajo n8n, incluida una vulnerabilidad crítica que podría permitir la ejecución remota de código.
Las vulnerabilidades descubiertas por el equipo de JFrog Security Research son las siguientes:
CVE-2026-1470 (Puntuación CVSS: 9.9): vulnerabilidad de inyección de evaluación que permite a un usuario autenticado omitir el mecanismo de zona de pruebas de Expression y lograr la ejecución remota completa de código en el nodo principal de n8n al pasar código JavaScript especialmente diseñado. CVE-2026-0863 (Puntuación CVSS: 8.5): un usuario autenticado puede omitir el mecanismo de zona de pruebas de Expression y lograr la ejecución remota completa de código en el nodo principal de Vulnerabilidad de inyección de evaluación n8n que podría potencialmente eludir mecanismos en el entorno limitado de python-task-executor y ejecutar código Python arbitrario en el sistema operativo subyacente
La explotación exitosa de esta falla podría permitir a un atacante secuestrar una instancia n8n completa, incluidos escenarios que se ejecutan en modo de ejecución «interno». n8n afirma en su documentación que el uso del modo interno en entornos de producción puede representar un riesgo de seguridad e insta a los usuarios a cambiar al modo externo para garantizar un aislamiento adecuado entre n8n y el proceso de ejecución de tareas.
«n8n desbloquea herramientas, capacidades y datos centrales de la infraestructura, incluidas las API de LLM, datos de ventas, sistemas IAM internos y más para automatizar los flujos de trabajo de IA en toda la organización», dijo JFrog en un comunicado compartido con The Hacker News. «Como resultado, está negando a los piratas informáticos una ‘llave maestra’ válida para toda su empresa».
Para solucionar este defecto, se recomienda a los usuarios actualizar a las siguientes versiones:
CVE-2026-1470 – 1.123.17, 2.4.5 o 2.5.1 CVE-2026-0863 – 1.123.14, 2.3.5 o 2.4.2
Este desarrollo se produce apenas unas semanas después de que Cyera Research Labs detallara una falla de seguridad de máxima gravedad en n8n (CVE-2026-21858 también conocido como Ni8mare) que permite a un atacante remoto no autenticado obtener el control completo de una instancia vulnerable.
«Estas vulnerabilidades resaltan lo difícil que es proteger de forma segura lenguajes dinámicos de alto nivel como JavaScript y Python», dijo el investigador Nathan Nehorai. «Incluso cuando existen múltiples capas de validación, listas de denegación y controles basados en AST, se pueden aprovechar características sutiles del lenguaje y comportamientos de tiempo de ejecución para eludir las suposiciones de seguridad».
«En este caso, las construcciones obsoletas o raramente utilizadas, combinadas con cambios en el intérprete y el comportamiento de manejo de excepciones, fueron suficientes para romper la restrictiva zona de pruebas y ejecutar el código de forma remota».
Source link
