Vulnerabilidades críticas en n8n exponen datos y permiten ejecución remota de código

Investigadores de seguridad han descubierto fallos críticos en n8n, una plataforma de automatización de flujos de trabajo. Estas vulnerabilidades podrían permitir a atacantes ejecutar código de forma remota y acceder a credenciales almacenadas. Dos de los fallos más graves, identificados como CVE-2026-27577 y CVE-2026-27493, recibieron una puntuación de criticidad alta.

Cómo funcionan las vulnerabilidades

El fallo CVE-2026-27577 es una "fuga de sandbox" en el compilador de expresiones de n8n. Un "sandbox" (caja de arena) es un entorno aislado donde se ejecutan programas, para evitar que dañen el resto del sistema. Esta fuga permite que un atacante, con acceso autenticado, ejecute comandos arbitrarios en el sistema. El investigador Eilon Cohen, de Pillar Security, descubrió que una función del reescritor AST (árbol de sintaxis abstracta) no transformaba correctamente el código, permitiendo la ejecución remota de código (RCE).

Por otro lado, CVE-2026-27493 es un fallo de "doble evaluación" en los nodos de formulario de n8n. Los nodos de formulario son elementos que permiten a los usuarios ingresar información. Debido a que los puntos finales de estos formularios son públicos (no requieren autenticación), un atacante podría inyectar expresiones maliciosas, ejecutando comandos arbitrarios en el sistema. En otras palabras, podrían usar un simple formulario de "Contáctanos" para ejecutar comandos maliciosos con solo ingresar un código en el campo del nombre.

A quién afecta

Estas vulnerabilidades afectan tanto a las implementaciones auto-hospedadas como a las implementaciones en la nube de n8n. Concretamente, las versiones afectadas son: < 1.123.22, >= 2.0.0 < 2.9.3, y >= 2.10.0 < 2.10.1. Las versiones 2.10.1, 2.9.3 y 1.123.22 corrigen estos problemas.

Además, las versiones 2.10.1, 2.9.3 y 1.123.22 también solucionan otras dos vulnerabilidades críticas (CVE-2026-27495 y CVE-2026-27497) que también podrían permitir la ejecución remota de código.

Cómo protegerse

La principal recomendación es actualizar n8n a las versiones más recientes (2.10.1, 2.9.3 y 1.123.22). Si no es posible actualizar de inmediato, se sugieren las siguientes medidas:

• Limitar los permisos de creación y edición de flujos de trabajo solo a usuarios de confianza.
• Implementar n8n en un entorno reforzado, con privilegios de sistema operativo y acceso de red restringidos.

Para mitigar CVE-2026-27493, n8n recomienda:

• Revisar manualmente el uso de nodos de formulario.
• Deshabilitar el nodo de formulario agregando n8n-nodes-base.form a la variable de entorno NODES_EXCLUDE.
• Deshabilitar el nodo disparador de formulario agregando n8n-nodes-base.formTrigger a la variable de entorno NODES_EXCLUDE.

Para CVE-2026-27495, se recomienda usar el modo de ejecutor externo (N8N_RUNNERS_MODE=external). Para CVE-2026-27497, se recomienda deshabilitar el nodo Merge agregando n8n-nodes-base.merge a la variable de entorno NODES_EXCLUDE.

Qué significa esto para ti

Si utilizas n8n, es crucial que apliques las actualizaciones y mitigaciones recomendadas lo antes posible. Estas vulnerabilidades podrían permitir a atacantes acceder a información sensible, como claves de AWS, contraseñas de bases de datos, tokens de OAuth y claves API. No esperes, protege tu información ahora.