(https://i.imgur.com/cNOL5Bi.jpeg)
Dos vulnerabilidades de alta gravedad descubiertas recientemente en la plataforma de automatización de flujos de trabajo n8n podrían permitir a atacantes comprometer completamente las instancias afectadas, acceder a datos sensibles, ejecutar código arbitrario y, en última instancia, obtener control total del host subyacente. Los fallos, identificados como CVE-2026-1470 y CVE-2026-0863, fueron descubiertos y reportados por investigadores de la empresa de DevSecOps JFrog, y vuelven a poner en el foco los riesgos de seguridad asociados a entornos de automatización autoalojados.
¿Qué es n8n y por qué es un objetivo atractivo?n8n es una plataforma de automatización de flujos de trabajo de código abierto que permite a los usuarios conectar aplicaciones, APIs y servicios para crear procesos complejos mediante un editor visual. Gracias a su flexibilidad y a su capacidad para integrarse con servicios de inteligencia artificial y modelos de lenguaje grandes (LLM), n8n se ha convertido en una herramienta ampliamente adoptada tanto por desarrolladores como por equipos DevOps.
Con más de 200.000 descargas semanales en npm, n8n se utiliza en tareas críticas como la automatización de procesos empresariales, el manejo de credenciales, la integración de servicios cloud y la orquestación de flujos de datos sensibles. Precisamente esta popularidad convierte a la plataforma en un objetivo atractivo para actores maliciosos.
CVE-2026-1470: ejecución arbitraria de JavaScript y RCE completoLa vulnerabilidad más grave de las dos es CVE-2026-1470, que recibió una puntuación crítica de 9,9 sobre 10. Aunque su explotación requiere autenticación, JFrog explicó que la severidad se debe a que permite la ejecución arbitraria de código en el nodo principal de n8n, lo que equivale a un RCE completo.
El fallo se origina en un escape del sandbox basado en AST (Abstract Syntax Tree) causado por un manejo incorrecto de la instrucción with en JavaScript. En concreto, un identificador constructor independiente puede evadir los mecanismos de sanitización y resolverse como Function, permitiendo la ejecución de código JavaScript arbitrario fuera del entorno restringido.
Esto implica que un usuario con permisos limitados para crear o modificar flujos de trabajo puede romper el aislamiento del sandbox, ejecutar comandos en el sistema anfitrión y pivotar hacia un control a nivel de infraestructura, algo especialmente crítico en despliegues empresariales.
CVE-2026-0863: escape del sandbox en Python y ejecución de comandos del sistemaLa segunda vulnerabilidad, CVE-2026-0863, afecta al entorno Python utilizado por n8n cuando se ejecuta como subproceso en el nodo principal. El fallo combina técnicas de introspección de objetos mediante cadenas de formato con el comportamiento de AttributeError.obj en Python 3.10 y versiones posteriores.
Esta combinación permite recuperar acceso a funciones integradas e importaciones restringidas, lo que facilita la ejecución de comandos del sistema operativo y desemboca igualmente en un RCE completo. La investigadora Rhoda Smart explicó en detalle este comportamiento en una entrada técnica de blog y anunció la publicación de un exploit de prueba de concepto (PoC), lo que podría acelerar la explotación activa de instancias vulnerables.
Un problema estructural: el sandboxing en lenguajes dinámicosSegún JFrog, estas vulnerabilidades ponen de manifiesto lo difícil que resulta implementar sandboxing seguro en lenguajes dinámicos y de alto nivel como JavaScript y Python. Incluso cuando se emplean múltiples capas de validación, listas de denegación y controles basados en AST, existen comportamientos sutiles del lenguaje y del tiempo de ejecución que pueden ser explotados para eludir las suposiciones de seguridad.
Este tipo de fallos no solo afectan a n8n, sino que representan un desafío más amplio para plataformas que permiten la ejecución de código definido por el usuario en entornos supuestamente aislados.
Versiones afectadas y parches disponiblesLos desarrolladores de n8n ya han corregido ambas vulnerabilidades.
- CVE-2026-1470 fue solucionada en las versiones 1.123.17, 2.4.5 y 2.5.1.
- CVE-2026-0863 se corrigió en 1.123.14, 2.3.5 y 2.4.2.
Se recomienda a los usuarios actualizar inmediatamente a las versiones más recientes. Es importante destacar que la plataforma n8n Cloud ya ha mitigado estos problemas, y que solo las versiones autoalojadas que ejecutan versiones vulnerables se ven afectadas.
Contexto preocupante: fallos previos y baja tasa de parcheoEstas vulnerabilidades llegan en un momento especialmente delicado para n8n. A principios de este mes se reveló "Ni8mare", una falla de máxima gravedad que permitía a atacantes remotos y no autenticados tomar el control de instancias locales de n8n. Una semana después de su divulgación, los escaneos mostraron que 60.000 instancias seguían expuestas.
Aunque a fecha del 27 de enero esta cifra se redujo a 39.900 instancias vulnerables, los datos reflejan una tasa de parcheo extremadamente lenta, lo que incrementa el riesgo de campañas de explotación masiva.
En fin...Las vulnerabilidades CVE-2026-1470 y CVE-2026-0863 confirman que las plataformas de automatización como n8n, especialmente en entornos autoalojados, deben ser tratadas como infraestructura crítica. La combinación de ejecución de código, acceso a integraciones sensibles y baja tasa de actualización convierte estos fallos en una amenaza real y activa.
Actualizar de inmediato, revisar permisos de usuarios y aplicar principios de mínimo privilegio son pasos esenciales para reducir la superficie de ataque y evitar compromisos de alto impacto.
Fuente: https://www.bleepingcomputer.com/