Más de 24,700 instancias de esta popular plataforma de automatización de flujos de trabajo permanecen expuestas a un fallo casi perfecto (CVSS 9.9) que permite la toma total del servidor.
La infraestructura de automatización corporativa acaba de recibir un duro golpe. Este miércoles, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) de EE. UU. añadió una falla de seguridad crítica que afecta a la plataforma n8n a su catálogo de Vulnerabilidades Conocidas Explotadas (KEV), basándose en evidencia contundente de explotación activa en la naturaleza.
El Fallo en la Evaluación de Expresiones (CVE-2025-68613)
La vulnerabilidad, rastreada como CVE-2025-68613 (con una devastadora puntuación CVSS de 9.9), es la primera falla de n8n en ingresar al catálogo KEV de CISA.
El problema técnico reside en el núcleo del motor de la herramienta:
- CISA advierte que n8n contiene un control inadecuado de los recursos de código gestionados dinámicamente dentro de su sistema de evaluación de expresiones de flujo de trabajo.
- Esta brecha estructural permite un caso severo de inyección de expresiones que desemboca directamente en la Ejecución Remota de Código (RCE).
- Los desarrolladores confirmaron que un atacante autenticado puede militarizar esta vulnerabilidad para ejecutar código arbitrario asumiendo los privilegios exactos del proceso central de n8n.
Una explotación exitosa tiene consecuencias catastróficas, resultando en el compromiso total de la instancia. Esto permite al cibercriminal acceder a datos confidenciales en tránsito, modificar flujos de trabajo empresariales o ejecutar operaciones destructivas a nivel de sistema.
Exposición Masiva y Riesgos Adicionales
El nivel de exposición global es sumamente alarmante. Según los datos de telemetría recopilados por la Shadowserver Foundation a principios de febrero de 2026, existen más de 24,700 instancias sin parchear expuestas abiertamente en Internet. De este masivo total, más de 12,300 se encuentran ubicadas en América del Norte y 7,800 en Europa.
Para complicar aún más el panorama de mitigación, se reveló recientemente dos fallas críticas adicionales en n8n. Una de ellas, la CVE-2026-27577 (CVSS 9.4), ha sido clasificada directamente como “exploits adicionales” descubiertos en el mismo sistema de evaluación de expresiones que ya estaba comprometido.
Mandato de Actualización Inmediata
Los desarrolladores de n8n liberaron originalmente los parches de seguridad para el CVE-2025-68613 en diciembre de 2025, abordando el fallo en las versiones 1.120.4, 1.121.1 y 1.122.0.
Ante la gravedad del escenario de ataques activos, y bajo el amparo de la Directiva Operativa Vinculante (BOD 22-01), CISA ha ordenado formalmente a todas las agencias de la Rama Ejecutiva Civil Federal (FCEB) de los Estados Unidos que parcheen de forma obligatoria sus instancias de n8n a más tardar el 25 de marzo de 2026. Las organizaciones del sector privado deben tratar esta directiva como una medida imperativa para su propia infraestructura.
