Alerta de CISA: Falla crítica en n8n en uso activo; miles de instancias expuestas
La Agencia de Ciberseguridad y Seguridad de la Infraestructura de EE. UU. (CISA) ha añadido una vulnerabilidad crítica en la plataforma de automatización de flujos de trabajo n8n a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), debido a evidencia de que está siendo utilizada activamente por atacantes. Esto significa que los ciberdelincuentes están aprovechando esta falla para comprometer sistemas.
De qué se trata la vulnerabilidad
La vulnerabilidad, identificada como CVE-2025-68613 (con una puntuación de 9.9 sobre 10 en el sistema CVSS, que mide la gravedad de las vulnerabilidades), es un caso de inyección de expresión que permite la ejecución remota de código. En palabras sencillas, un atacante puede inyectar código malicioso en el sistema y ejecutarlo para tomar el control.
- Esta vulnerabilidad se encuentra en el sistema de evaluación de expresiones de flujo de trabajo de n8n.
- Un atacante autenticado (alguien con acceso, aunque sea limitado) podría aprovecharla para ejecutar código arbitrario con los mismos privilegios que el proceso n8n.
- La explotación exitosa podría resultar en el control total de la instancia de n8n, permitiendo el acceso a datos sensibles, la modificación de flujos de trabajo o la ejecución de operaciones a nivel de sistema.
¿A quién afecta?
Según la Fundación Shadowserver, hay más de 24,700 instancias de n8n sin parchear expuestas en línea. De estas, más de 12,300 se encuentran en América del Norte y 7,800 en Europa (datos de principios de febrero de 2026). Esto significa que miles de empresas y organizaciones podrían ser vulnerables a este ataque.
Además, Pillar Security ha descubierto dos fallas críticas adicionales en n8n, una de las cuales – CVE-2026-27577 – ha sido clasificada como un "exploit" adicional descubierto en el sistema de evaluación de expresiones de flujo de trabajo, siguiendo la CVE-2025-68613.
Qué significa esto para ti
Si utilizas n8n, es crucial que actualices tu instalación a las versiones 1.120.4, 1.121.1 o 1.122.0, que corrigen esta vulnerabilidad. La CISA ha ordenado a las agencias federales civiles del poder ejecutivo (FCEB) que parcheen sus instancias de n8n antes del 25 de marzo de 2026. Si bien esta directiva no es directamente aplicable a empresas privadas o usuarios individuales, es una clara señal de la gravedad de la amenaza. Ignorar esta vulnerabilidad podría resultar en un grave compromiso de tu sistema y la pérdida de datos confidenciales.
