Investigadores revelan “Ni8mare” y “N8scape”, dos vulnerabilidades de severidad máxima que permiten a atacantes no autenticados leer archivos del sistema y a usuarios internos escapar del sandbox para secuestrar la infraestructura.
Si utilizas n8n para orquestar tus flujos de trabajo (y probablemente conectar todas tus APIs críticas), es momento de detener todo y actualizar. Se han revelado este mes de enero de 2026 detalles sobre dos agujeros de seguridad devastadores en la popular plataforma de automatización “low-code”.
El hallazgo más alarmante, bautizado como “Ni8mare”, ha recibido una puntuación perfecta de 10.0 sobre 10 (Crítica) en la escala CVSS, ya que entrega las llaves del reino a cualquier atacante externo sin necesidad de credenciales.
- Ni8mare (CVE-2026-21858): Lectura de Archivos sin Autenticación
Esta es la joya de la corona para los cibercriminales. La vulnerabilidad reside en cómo n8n procesa las solicitudes de los Webhooks, específicamente en la función de carga de archivos.
- El Fallo Técnico: Una confusión de “Content-Type”. Los atacantes descubrieron que, si manipulaban la cabecera de una solicitud a un formulario web de n8n, podían engañar al servidor para que no validara correctamente la entrada.
- El Ataque: En lugar de subir un archivo nuevo, el atacante puede inyectar una ruta de archivo local del servidor (por ejemplo, /home/node/.n8n/config o la base de datos database.sqlite).
- El Resultado: El servidor n8n “lee” su propio archivo de configuración (que contiene secretos de cifrado y usuarios) y se lo entrega al atacante.
- Impacto Final: Con el archivo de base de datos y la clave de cifrado en mano, el atacante puede falsificar una cookie de sesión de administrador, iniciar sesión legítimamente y obtener Control Total (RCE) sobre la instancia.
- N8scape (CVE-2025-68668): Fuga del Sandbox de Python
El segundo fallo afecta a las empresas que permiten a sus usuarios ejecutar código Python personalizado dentro de los flujos de trabajo.
- El Mecanismo: Afecta al nodo de ejecución de Python que utiliza la librería Pyodide para aislar el código (Sandbox).
- El Escape: Los investigadores encontraron una forma de eludir las restricciones de este sandbox utilizando funciones específicas de Python que no estaban bloqueadas correctamente.
- Impacto: Un usuario autenticado (o un atacante que ya haya entrado usando Ni8mare) puede escapar del entorno restringido y ejecutar comandos directamente en el sistema operativo host, permitiendo movimientos laterales hacia otros servidores de la red interna.
¿A quién afecta?
- Ni8mare: Afecta a todas las versiones anteriores a la 1.121.0.
- N8scape: Afecta a versiones desde la 1.0.0 hasta la 2.0.0.
Solución Urgente
El equipo de n8n ha respondido rápidamente con parches de seguridad.
- Actualizar: Debes migrar inmediatamente a la versión 1.121.0 (para corregir Ni8mare) o, idealmente, a la versión 2.0.0 o superior para mitigar ambos fallos.
- Mitigación Temporal: Si no puedes actualizar hoy, restringe el acceso público a los endpoints de Webhooks y asegúrate de que tus instancias de n8n no estén expuestas directamente a internet sin una capa de autenticación adicional (como un VPN o un Proxy Inverso con Auth básica).
