Vulnerabilidades críticas en n8n exponen credenciales y permiten ejecución remota
Publicado el
Recientemente, investigadores de ciberseguridad han revelado dos vulnerabilidades críticas en n8n, una plataforma de automatización de flujos de trabajo. Estas fallas, ahora corregidas, permiten la ejecución remota de código (RCE) y la exposición de credenciales almacenadas.
Detalles de las Vulnerabilidades
Las vulnerabilidades se identifican como: - CVE-2026-27577 (CVSS: 9.4): Escape de sandbox en el compilador de expresiones que permite la ejecución remota de código. - CVE-2026-27493 (CVSS: 9.5): Evaluación de expresiones no autenticada a través de nodos de formulario de n8n.Eilon Cohen, investigador de Pillar Security y descubridor de estas fallas, menciona que CVE-2026-27577 permite a un usuario autenticado ejecutar comandos del sistema en el host de n8n mediante expresiones manipuladas en los parámetros de flujo de trabajo. Por su parte, CVE-2026-27493 puede ser explotada a través de un formulario de contacto público, permitiendo a un atacante ejecutar comandos de shell al introducir una carga maliciosa en el campo de nombre.
Impacto de las Vulnerabilidades
Ambas vulnerabilidades afectan tanto a las implementaciones en la nube como a las autohospedadas de n8n, en versiones < 1.123.22, >= 2.0.0 < 2.9.3, y >= 2.10.0 < 2.10.1. Las versiones corregidas son 2.10.1, 2.9.3, y 1.123.22. Si la actualización inmediata no es viable, se recomienda restringir los permisos de creación y edición de flujos de trabajo a usuarios de total confianza y desplegar n8n en un entorno reforzado con privilegios de sistema y acceso a red limitados.Recomendaciones de Mitigación
Para mitigar los riesgos asociados a CVE-2026-27493, n8n sugiere: - Revisar manualmente el uso de los nodos de formulario para asegurar que no se cumplan las condiciones mencionadas. - Desactivar el nodo de formulario añadiendo `n8n-nodes-base.form` a la variable de entorno `NODES_EXCLUDE`. - Desactivar el nodo de activación del formulario añadiendo `n8n-nodes-base.formTrigger` a la variable de entorno `NODES_EXCLUDE`.Los mantenedores advierten que estas soluciones son solo medidas de mitigación a corto plazo y no resuelven el riesgo por completo.
Explotación de Credenciales
Pillar Security ha indicado que un atacante podría utilizar estas vulnerabilidades para acceder a la variable de entorno N8N_ENCRYPTION_KEY y descifrar todas las credenciales almacenadas en la base de datos de n8n, incluyendo claves de AWS, contraseñas de bases de datos, tokens de OAuth y claves API.Además de las vulnerabilidades mencionadas, las versiones 2.10.1, 2.9.3, y 1.123.22 también corrigen dos vulnerabilidades críticas adicionales que permiten la ejecución de código arbitrario: - CVE-2026-27495 (CVSS: 9.4): Vulnerabilidad de inyección de código en el sandbox del ejecutor de tareas de JavaScript. - CVE-2026-27497 (CVSS: 9.4): Inyección de código a través del nodo de combinación que permite escribir archivos arbitrarios en el servidor de n8n.