Una vulnerabilidad de máxima severidad en la popular plataforma de automatización de código abierto n8n pone en riesgo a miles de organizaciones, permitiendo a atacantes autenticados tomar el control total del sistema.
Investigadores de seguridad han emitido una advertencia urgente tras el descubrimiento de una falla crítica en n8n, la herramienta de automatización de flujo de trabajo utilizada por desarrolladores y empresas en todo el mundo. La vulnerabilidad, rastreada como CVE-2025-68613, ha recibido una puntuación de gravedad casi perfecta de 9.9 sobre 10 en la escala CVSS, lo que indica un peligro inminente para los sistemas no parcheados.
El Riesgo: Control Total del Sistema
El fallo reside en el sistema de evaluación de expresiones de los flujos de trabajo de n8n, la vulnerabilidad permite que usuarios autenticados ejecuten código arbitrario con los privilegios completos del proceso.
Esto significa que un atacante que logre acceder a una cuenta (o un usuario interno malintencionado) podría:
- Romper los límites de seguridad de la aplicación.
- Acceder a datos sensibles almacenados en otros flujos de trabajo.
- Modificar configuraciones críticas.
- Tomar el control completo del servidor subyacente.
El diseño defectuoso permite que ciertas expresiones se ejecuten sin el aislamiento adecuado (sandboxing), otorgando acceso directo al sistema operativo.
Alcance Masivo
La magnitud del problema es alarmante. Datos de Censys revelan que existen 103,476 instancias de n8n potencialmente vulnerables expuestas en internet. Dado que esta herramienta suele gestionar procesos críticos y conectar diversos servicios empresariales (APIs, bases de datos, CRMs), el impacto de una brecha podría ser devastador.
Versiones Afectadas y Parches
La vulnerabilidad afecta a todas las versiones de n8n desde la 0.211.0 en adelante. El equipo de n8n ha respondido lanzando parches en tres ramas de actualización diferentes.
Debes actualizar inmediatamente a una de las siguientes versiones (o superior):
- 1.120.4
- 1.121.1
- 1.122.0
Recomendaciones
- Parchear Inmediatamente: La única solución definitiva es actualizar a las versiones seguras mencionadas anteriormente.
- Mitigación Temporal: Si la actualización no es posible de inmediato, se recomienda restringir severamente los permisos de creación y edición de flujos de trabajo solo a usuarios de absoluta confianza.
- Endurecimiento: Desplegar n8n en entornos aislados con privilegios de sistema operativo y acceso a red restringidos.
