Se ha revelado una nueva vulnerabilidad de seguridad crítica en la plataforma de automatización de flujo de trabajo n8n que podría explotarse con éxito para ejecutar comandos arbitrarios del sistema.
Esta falla, rastreada como CVE-2026-25049 (puntuación CVSS: 9,4), se debe a una desinfección inadecuada que elude las medidas de seguridad implementadas para abordar CVE-2025-68613 (puntuación CVSS: 9,9), otra falla crítica corregida por n8n en diciembre de 2025.
«Se han identificado y parcheado exploits adicionales en la evaluación de expresiones en n8n de acuerdo con CVE-2025-68613», dijeron los mantenedores de n8n en un aviso publicado el miércoles.
«Un usuario autenticado con privilegios para crear o modificar flujos de trabajo podría explotar una expresión manipulada en un parámetro de flujo de trabajo para provocar la ejecución de comandos del sistema no deseados en un host que ejecuta n8n».
Este problema afecta a las siguientes versiones:
<1.123.17 (fijado en 1.123.17) <2.5.2 (fijado en 2.5.2)
A diez investigadores de seguridad se les atribuye el descubrimiento de la falla, incluido Fatih Çelik, quien informó del error original CVE-2025-68613, Cris Staicu de Endor Labs, Eilon Cohen de Pillar Security y Sandeep Kamble de SecureLayer7.
En un detalle técnico que describe CVE-2025-68613 y CVE-2026-25049, Çelik dijo: «La segunda vulnerabilidad es solo una omisión de la solución inicial, por lo que podría considerarse la misma vulnerabilidad», y agregó cómo un atacante podría eludir el mecanismo de espacio aislado estilo n8n y eludir los controles de seguridad.
«Un atacante crea un flujo de trabajo utilizando un webhook de acceso público que no tiene la autenticación habilitada», dijo SecureLayer7. «Al agregar una sola línea de JavaScript usando sintaxis estructurada, los flujos de trabajo se pueden aprovechar para ejecutar comandos a nivel de sistema. Una vez expuestos, cualquier persona en Internet puede activar un webhook para ejecutar comandos de forma remota».
La explotación exitosa de esta vulnerabilidad no solo podría permitir que un atacante comprometa el servidor, robe credenciales y extraiga datos confidenciales, sino que también podría abrir una oportunidad para que el atacante instale puertas traseras persistentes para facilitar el acceso a largo plazo.
La firma de ciberseguridad también señaló que la gravedad de la falla aumenta significativamente cuando se combina con la funcionalidad de webhook de n8n, lo que permite a un atacante crear un flujo de trabajo con un webhook público, agregar una carga útil de ejecución remota de código a un nodo dentro del flujo de trabajo y hacer que el webhook sea accesible públicamente una vez que se activa el flujo de trabajo.
El informe de Pillar describe el problema como que permite a los atacantes robar claves API, claves de proveedores de nube, contraseñas de bases de datos y tokens OAuth, acceder a sistemas de archivos y sistemas internos, pasar a cuentas de nube conectadas y secuestrar flujos de trabajo de inteligencia artificial (IA).
«El ataque no requiere nada especial. Si puedes crear un flujo de trabajo, eres dueño del servidor», dijo Cohen.
Endor Labs también reveló detalles sobre la vulnerabilidad, afirmando que el problema es causado por una brecha en el mecanismo de desinfección de n8n que permite eludir los controles de seguridad.
«Esta vulnerabilidad es causada por una falta de coincidencia entre el sistema de tipos en tiempo de compilación de TypeScript y el comportamiento en tiempo de ejecución de JavaScript», explicó Staicu. «TypeScript exige que las propiedades sean cadenas en el momento de la compilación, pero esta aplicación se limita a los valores que están presentes en el código durante la compilación».
«TypeScript no puede imponer estas comprobaciones de tipos en los valores creados por un atacante en tiempo de ejecución. Si un atacante crea una expresión maliciosa en tiempo de ejecución, podría pasar valores que no sean cadenas (objetos, matrices, símbolos, etc.) que eluden por completo las comprobaciones de desinfección».
Si no es posible aplicar parches de inmediato, recomendamos seguir las siguientes soluciones para minimizar el impacto de posibles exploits.
Restrinja los privilegios de creación y edición de flujos de trabajo a usuarios de plena confianza. Implemente n8n en un entorno reforzado con permisos de sistema operativo y acceso a la red limitados.
«Esta vulnerabilidad muestra por qué son importantes múltiples capas de validación. Incluso si una capa (tipo TypeScript) parece poderosa, se requieren comprobaciones de tiempo de ejecución adicionales cuando se procesan entradas que no son de confianza», dijo Endor Labs. «Preste especial atención a las funciones de desinfección durante las revisiones de código y busque suposiciones sobre los tipos de entrada que no se aplican en tiempo de ejecución».
(Esta historia se actualizó después de su publicación para incluir información adicional publicada por el investigador de seguridad Fatih Çelik).
Source link
