Se ha emitido un boletín de seguridad de máxima prioridad tras la divulgación de múltiples fallas críticas en n8n, la popular plataforma de automatización de flujos de trabajo basados en nodos (node-based workflows). Las vulnerabilidades descubiertas (destacando CVE-2026-21858, CVE-2026-1470 y CVE-2025-68613) abarcan desde escapes de sandbox en la evaluación de expresiones hasta fallos de confusión de Content-Type en webhooks públicos. La severidad es extrema (alcanzando puntuaciones CVSS de 10.0), ya que permiten Ejecución Remota de Código (RCE) tanto de forma autenticada como no autenticada, habilitando la toma de control total de las instancias afectadas. Agencias de inteligencia como CISA ya han incluido fallos de n8n en su catálogo de vulnerabilidades explotadas activamente en la naturaleza.
Anatomía del Ataque (Escapes de Sandbox y Manipulación de Nodos)
El análisis técnico revela diferentes vectores de intrusión que explotan la forma en que la plataforma procesa los datos a través de sus gráficos de automatización:
- RCE No Autenticado vía Webhooks (CVE-2026-21858 – “Ni8mare”): Con un CVSS de 10.0, esta falla se origina por una confusión en la lógica de manejo de archivos y cabeceras HTTP. Un atacante puede enviar solicitudes manipuladas a endpoints de webhooks expuestos, logrando sobrescribir el estado interno de la plataforma, acceder a archivos del sistema o forjar sesiones administrativas para ejecutar código sin necesitar credenciales previas.
- Evasión de Sandbox en Evaluación de Expresiones (CVE-2026-1470 / CVE-2026-27577): Fallos estructurales en el motor de JavaScript. Aprovechando vulnerabilidades de inyección (como evaluación doble o el abuso de funciones deprecadas de JS como with), un atacante que pueda modificar un flujo de trabajo logra escapar del entorno aislado (sandbox). Esto permite que cargas útiles maliciosas se evalúen como código JS arbitrario, ejecutando comandos directamente en el sistema operativo base.
- Explotación Pública de Nodos de Formulario (CVE-2026-27493): Al encadenarse con los escapes de sandbox mencionados, esta falla permite a un actor externo utilizar nodos de formularios web públicos (diseñados operativamente para no requerir autenticación) como vector inicial para inyectar expresiones maliciosas directas en la cadena del flujo de trabajo.
Impacto (Riesgo Estructural para Arquitecturas Automatizadas)
- Compromiso de Bóveda de Credenciales: Por su naturaleza de orquestador, n8n funciona en la práctica como un repositorio central de secretos. Al vulnerar el motor que procesa los gráficos, el atacante extrae en texto plano todas las llaves de las plataformas integradas (API Keys, tokens OAuth, credenciales de AWS y bases de datos), facilitando un movimiento lateral masivo hacia la infraestructura corporativa.
- Toma de Control de Infraestructura Compartida: En despliegues multi-tenant (multi-inquilino) o instancias cloud, lograr un RCE a nivel del sistema rompe el aislamiento de los contenedores, poniendo en riesgo la confidencialidad de la telemetría y los flujos de automatización de múltiples unidades de negocio operando en la misma máquina.
Recomendaciones y Mitigación
Para asegurar la continuidad de los procesos automatizados y proteger la cadena de suministro interna, los equipos de DevSecOps e Infraestructura deben ejecutar lo siguiente:
- Actualización Mandatoria (Prioridad Cero): Actualizar inmediatamente los despliegues físicos y contenedores de Docker a las versiones parcheadas más recientes (como las ramas 1.123.17+, 2.4.5+ o 2.5.1+, dependiendo de la arquitectura actual).
- Hardening de Ejecución (Runners Externos): Para mitigar el radio de explosión a nivel arquitectónico, se debe configurar n8n para delegar las tareas en el “Modo de Ejecución Externo” (N8N_RUNNERS_MODE=external), aislando así los procesos de trabajo (workers) del motor principal. Adicionalmente, se recomienda deshabilitar temporalmente mediante variables de entorno (NODES_EXCLUDE) cualquier nodo que no sea estrictamente necesario y presente riesgos de ejecución de código.
- Auditoría de Integraciones y Cacería de Amenazas: Debido a que el ataque apunta a la extracción de credenciales, el Centro de Operaciones de Seguridad (SOC) debe auditar activamente los registros de los proveedores de identidad vinculados, buscando usos anómalos de llaves de API originados fuera de las IP de la instancia de n8n. Además, se debe revisar la integridad de los workflows en producción para detectar la inyección encubierta de código JavaScript ofuscado en los nodos de transformación.
