Vulnerabilidades en n8n, ataques estatales vía WinRAR y espionaje de Mustang Panda con COOLCLIENT
29 de January de 2026Alerta en la automatización: Descubren dos fallos críticos en n8n que permiten la ejecución remota de código
Investigadores de ciberseguridad han encendido las alarmas tras el descubrimiento de dos nuevas vulnerabilidades de alta gravedad en n8n, la popular plataforma de automatización de flujos de trabajo basada en IA. Estos fallos, identificados por el equipo de JFrog Security Research, podrían permitir a usuarios autenticados evadir las restricciones de seguridad y ejecutar código arbitrario en los sistemas afectados.
Las vulnerabilidades bajo la lupa
Los fallos afectan directamente los mecanismos de "sandbox" (entornos aislados) que n8n utiliza para ejecutar scripts de JavaScript y Python. Al ser una herramienta que conecta múltiples servicios empresariales, un compromiso en esta plataforma actúa como una "llave maestra" para acceder a credenciales de API, datos de ventas, sistemas de gestión de identidades (IAM) y bases de datos.
CVE-2026-1470 (Puntuación CVSS: 9.9 - Crítica): Se trata de una vulnerabilidad de inyección de código (eval injection) en el nodo principal de n8n. Un atacante autenticado puede eludir el sandbox de expresiones de JavaScript y lograr el control total de la instancia mediante código malicioso diseñado específicamente.
CVE-2026-0863 (Puntuación CVSS: 8.5 - Alta): Este fallo permite saltarse las restricciones del ejecutor de tareas de Python (python-task-executor), permitiendo la ejecución de comandos en el sistema operativo subyacente.
Un riesgo para la infraestructura corporativa
Según Nathan Nehorai, investigador de JFrog, estos hallazgos demuestran la dificultad de aislar de forma segura lenguajes de programación dinámicos. "Incluso con múltiples capas de validación y listas de bloqueo, características sutiles del lenguaje y comportamientos del tiempo de ejecución pueden ser aprovechados para romper el sandbox", señaló el experto.
El riesgo es mayor para aquellas organizaciones que operan n8n en el modo de ejecución "interno", una configuración que la propia plataforma desaconseja para entornos de producción debido a la falta de aislamiento entre los procesos principales y los ejecutores de tareas.
Recomendaciones y Mitigación
La publicación de estos fallos ocurre apenas unas semanas después de que se reportara otra vulnerabilidad crítica (CVE-2026-21858, apodada "Ni8mare") que permitía el control total a atacantes no autenticados.
Para protegerse contra estas nuevas amenazas, se urge a los administradores de sistemas a actualizar sus instancias de n8n a las siguientes versiones corregidas (o superiores):
Para mitigar CVE-2026-1470: Versiones 1.123.17, 2.4.5 o 2.5.1.
Para mitigar CVE-2026-0863: Versiones 1.123.14, 2.3.5 o 2.4.2.
Los expertos también recomiendan encarecidamente cambiar al modo de ejecución "externo" para asegurar una separación adecuada de procesos y evitar que un fallo en una tarea comprometa todo el servidor.