Infy, n8n y React2Shell: Ciberespionaje estatal, ejecución remota y secuestro de servidores NGINX
06 de February de 2026CRÍTICA VULNERABILIDAD EN N8N PERMITE LA EJECUCIÓN REMOTA DE COMANDOS EN SISTEMAS AFECTADOS
LONDRES – Una grave falla de seguridad ha sido descubierta en la popular plataforma de automatización de flujos de trabajo n8n, la cual podría permitir a atacantes ejecutar comandos arbitrarios en los servidores que alojan la herramienta. La vulnerabilidad, identificada como CVE-2026-25049 y con una puntuación de severidad CVSS de 9.4, ha sido revelada tras una investigación de la firma de ciberseguridad SecureLayer7.
El fallo técnico surge como consecuencia de una sanitización insuficiente de datos, lo que permite eludir las protecciones implementadas anteriormente para mitigar otra vulnerabilidad crítica (CVE-2025-68613) parcheada a finales del año pasado.
El mecanismo del ataque: Expresiones maliciosas
Según el reporte técnico de SecureLayer7, un usuario autenticado con permisos para crear o modificar flujos de trabajo puede abusar de expresiones diseñadas maliciosamente en los parámetros de los nodos de n8n. Esto desencadena la ejecución de comandos del sistema operativo directamente en el host que ejecuta la aplicación.
La peligrosidad de esta falla se incrementa significativamente cuando se combina con la función de webhooks de n8n. Un atacante podría configurar un flujo de trabajo con un webhook de acceso público y sin autenticación, inyectando una carga útil de ejecución remota de código (RCE). Esto permitiría que cualquier tercero con acceso a la URL del webhook comprometa el servidor de forma remota.
Riesgos de alto impacto para las empresas
Los expertos advierten que la explotación exitosa de esta vulnerabilidad no solo compromete la integridad del servidor, sino que abre la puerta a múltiples escenarios de desastre:
Robo de credenciales: Extracción de claves API, contraseñas de bases de datos, tokens de OAuth y claves de proveedores de servicios en la nube.
Acceso lateral: Movimiento hacia sistemas internos y cuentas en la nube conectadas a la plataforma.
Manipulación de IA: Alteración o secuestro de flujos de trabajo de Inteligencia Artificial que dependen de n8n.
Persistencia: Instalación de puertas traseras (backdoors) para mantener el acceso a largo plazo.
Causa raíz: Un conflicto entre TypeScript y JavaScript
El investigador Cristian-Alexandru Staicu, quien analizó el problema, explicó que la vulnerabilidad se origina en una discrepancia entre el sistema de tipos de TypeScript (en tiempo de compilación) y el comportamiento real de JavaScript (en tiempo de ejecución). "Mientras que TypeScript asegura que una propiedad sea una cadena de texto durante la compilación, esta restricción no se mantiene para los valores que ingresan al sistema durante el tiempo de ejecución", señaló el experto.
Recomendaciones y mitigación
La vulnerabilidad afecta a diversas versiones de n8n, por lo que se insta a los administradores de sistemas y desarrolladores que utilizan esta herramienta a actualizar sus instancias a las versiones más recientes de forma inmediata.
SecureLayer7 subraya que el ataque "no requiere de condiciones especiales" para ser ejecutado una vez que se tiene acceso a la creación de flujos, lo que sitúa a las empresas que utilizan n8n para manejar datos sensibles o infraestructuras críticas en una posición de alto riesgo si no aplican los parches correspondientes.