Underc0de - La Casa de los Informáticos

Investigadores en ciberseguridad han revelado los detalles de una vulnerabilidad de máxima gravedad en n8n, una popular plataforma de automatización de flujos de trabajo ampliamente utilizada por empresas para integrar aplicaciones, procesar datos y orquestar tareas críticas. El fallo de seguridad permite que un atacante remoto no autenticado obtenga control total de instancias vulnerables, lo que representa un riesgo severo para organizaciones que dependen de n8n en entornos productivos.

La vulnerabilidad ha sido registrada como CVE-2026-21858, con una puntuación CVSS de 10.0, la máxima posible. Ha sido bautizada como Ni8mare por Cyera Research Labs, reflejando el impacto catastrófico que puede tener sobre infraestructuras empresariales. El hallazgo fue realizado por la investigadora de seguridad Dor Attias, quien informó responsablemente el problema a n8n el 9 de noviembre de 2025.

Un fallo sin autenticación con consecuencias devastadoras

En un aviso de seguridad publicado recientemente, n8n confirmó la existencia del fallo y advirtió sobre su impacto:

Citar"Una vulnerabilidad en n8n permite a un atacante acceder a archivos en el servidor subyacente mediante la ejecución de ciertos flujos de trabajo basados en formularios. Un flujo vulnerable podría conceder acceso a un atacante remoto no autenticado, lo que podría resultar en la exposición de información sensible y un mayor compromiso del sistema".

A diferencia de otras vulnerabilidades críticas descubiertas previamente, CVE-2026-21858 no requiere credenciales, lo que la convierte en un vector de ataque extremadamente atractivo para actores maliciosos. El fallo se basa en una confusión del encabezado "Content-Type", que permite manipular el manejo de archivos y escalar el ataque desde lectura arbitraria de archivos hasta ejecución remota de comandos (RCE).

Cuarta vulnerabilidad crítica en dos semanas

Ni8mare no es un caso aislado. En apenas dos semanas, n8n ha revelado cuatro vulnerabilidades críticas, lo que ha generado preocupación en la comunidad de seguridad:

• CVE-2025-68613 (CVSS 9.9): ejecución remota de código por control inadecuado de recursos gestionados dinámicamente (requiere autenticación).
• CVE-2025-68668 (N8scape, CVSS 9.9): bypass de sandbox que permite ejecutar comandos arbitrarios en el sistema anfitrión (requiere permisos de edición de flujos).
• CVE-2026-21877 (CVSS 10.0): subida sin restricciones de archivos peligrosos que permite compromiso total de la instancia (requiere autenticación).
• CVE-2026-21858 es el más grave de todos, ya que elimina por completo la barrera de autenticación y abre la puerta a ataques automatizados a gran escala.

Análisis técnico: el problema en webhooks y manejo de archivos

Según los detalles técnicos compartidos por Cyera con medios especializados, el núcleo del problema se encuentra en el mecanismo de gestión de archivos y los webhooks de n8n.

Los webhooks son componentes esenciales que permiten a n8n recibir datos de aplicaciones externas cuando ocurre un evento. Antes de ejecutar un flujo de trabajo, la solicitud entrante es procesada por la función parseRequestBody(), que decide cómo analizar el contenido según el encabezado Content-Type.

• Si el encabezado es multipart/form-data, se invoca parseFormData(), el analizador de subida de archivos.
• Para cualquier otro tipo de contenido, se utiliza parseBody(), el analizador estándar.
• El analizador de formularios emplea el módulo formidable de Node.js y almacena los archivos en la variable global req.body.files.
• El analizador normal almacena los datos en req.body.

El fallo ocurre cuando una función de manejo de archivos se ejecuta sin verificar que el Content-Type sea multipart/form-data, permitiendo a un atacante sobrescribir completamente req.body.files.

Citar"Controlamos todo el objeto req.body.files. Eso significa que controlamos la ruta del archivo. En lugar de copiar un archivo subido, podemos copiar cualquier archivo local del sistema", explicó Dor Attias.

El resultado es crítico: los nodos posteriores reciben archivos locales del sistema, no los archivos legítimos enviados por el usuario.

Cadena de ataque: de lectura de archivos a RCE

Cyera describió un escenario de ataque realista que ilustra el impacto de Ni8mare. En un entorno donde n8n se utiliza para procesar formularios y alimentar una base de conocimientos, un atacante puede:

• Leer archivos arbitrarios, como la base de datos SQLite ubicada en
• /home/node/.n8n/database.sqlite.
• Extraer ID de usuario, correos electrónicos y contraseñas hasheadas del administrador.
• Acceder al archivo de configuración /home/node/.n8n/config y extraer la clave secreta de cifrado.
• Falsificar una cookie de sesión para obtener acceso administrativo.
• Crear un nuevo flujo de trabajo con un nodo "Ejecutar comando" y lograr ejecución remota de código.

El "radio de explosión" de un n8n comprometido

Cyera fue contundente al describir el impacto:

Citar"El radio de explosión de un n8n comprometido es enorme. No se pierde solo un sistema, se entregan las llaves de todo: credenciales de API, tokens OAuth, bases de datos, almacenamiento en la nube. n8n se convierte en un punto único de fallo".

Dado que n8n suele centralizar credenciales y conexiones críticas, su compromiso puede derivar en brechas masivas de datos, movimientos laterales y ataques a toda la infraestructura empresarial.

Versiones afectadas y mitigaciones urgentes

La vulnerabilidad afecta a todas las versiones de n8n hasta la 1.65.0 inclusive y fue corregida en la versión 1.121.0, publicada el 18 de noviembre de 2025. Las versiones más recientes disponibles actualmente incluyen 1.123.10, 2.1.5, 2.2.4 y 2.3.0.

Las recomendaciones clave son:

• Actualizar inmediatamente a una versión parcheada o superior.
• No exponer n8n directamente a internet.
• Aplicar autenticación obligatoria en formularios y webhooks.
• Restringir o deshabilitar endpoints públicos como medida temporal.

En fin...

La vulnerabilidad Ni8mare (CVE-2026-21858) posiciona a n8n como un objetivo crítico de alto valor para actores de amenaza. En un ecosistema donde las plataformas de automatización concentran secretos y accesos privilegiados, un solo fallo sin autenticación puede desencadenar un compromiso total. La actualización inmediata y el endurecimiento de la exposición pública ya no son opcionales, sino esenciales para la supervivencia operativa.

Fuente: https://thehackernews.com/