Vulnerabilidad Crítica en n8n permite compromiso total sin autenticación (CVSS 10.0)

Investigadores de ciberseguridad revelaron una vulnerabilidad de severidad crítica en n8n, la plataforma de automatización de flujos de trabajo de código abierto ampliamente utilizada en entornos empresariales y de desarrollo.
La falla permite a atacantes no autenticados obtener control total sobre instancias vulnerables, tanto autoalojadas como en la nube.

La vulnerabilidad fue identificada como CVE-2026-21858 y apodada “Ni8mare” por Cyera Research Labs.

Detalles técnicos de la vulnerabilidad

La falla explota un manejo incorrecto del encabezado Content-Type en webhooks de formularios de n8n. A través de este vector, un atacante remoto puede encadenar múltiples impactos críticos:

• Lectura arbitraria de archivos locales

• Robo de secretos y credenciales almacenadas

• Falsificación de sesiones de administrador

• Ejecución remota de código (RCE)

El hallazgo fue descubierto y reportado el 9 de noviembre de 2025 por el investigador Dor Attias.

Con un puntaje CVSS 10.0, la vulnerabilidad alcanza el máximo nivel de severidad debido a:

• Vector de ataque por red

• Baja complejidad

• Ausencia total de autenticación

• Impacto completo en confidencialidad, integridad y disponibilidad

Alcance y contexto de seguridad

CVE-2026-21858 forma parte de una serie de cuatro vulnerabilidades críticas divulgadas recientemente en n8n, entre ellas:

• CVE-2026-21877 – CVSS 10.0, RCE autenticado

• CVE-2025-68668 – CVSS 9.9, bypass de sandbox

Este patrón refuerza las preocupaciones sobre la superficie de ataque en plataformas de automatización complejas que manejan credenciales, tokens y flujos de negocio críticos.

Impacto y riesgos para entornos empresariales

Un atacante que explote esta vulnerabilidad puede:

• Comprometer completamente el host donde corre n8n

• Ejecutar comandos con los privilegios del proceso

• Acceder a integraciones, APIs y credenciales sensibles

• Modificar flujos para persistencia o propagación lateral

Dado el uso extendido de n8n para automatizar procesos empresariales, miles de instancias expuestas podrían ser utilizadas como punto de entrada para brechas masivas de datos o pivotear hacia infraestructuras críticas.

Aunque no existen exploits públicos conocidos hasta el momento, la simplicidad del ataque incrementa significativamente el riesgo de explotación activa.

Respuesta oficial y mitigación recomendada

El equipo de n8n corrigió la vulnerabilidad en las versiones:

• 1.121.3

• 2.0.0

Los parches introducen:

• Modelos de ejecución más aislados

• Validaciones estrictas en cargas de archivos

• Controles adicionales sobre webhooks públicos

Recomendaciones para administradores y equipos DevSecOps

• Actualizar inmediatamente a la última versión estable

• Revisar logs de webhooks en busca de actividad anómala

• Restringir o deshabilitar webhooks expuestos públicamente

• Proteger instancias con WAF, rate limiting o herramientas como fail2ban

• Realizar auditorías de seguridad en despliegues autoalojados, especialmente en la nube

Conclusión

Este incidente subraya la criticidad de aplicar parches de forma temprana en plataformas de automatización, cuyo compromiso puede tener efectos sistémicos en toda la infraestructura. Para organizaciones que dependen de n8n en producción, la actualización inmediata no es opcional: es una medida de contención urgente.