Apenas semanas después de parchear una vulnerabilidad grave, la plataforma de automatización n8n enfrenta una nueva crisis. Un fallo en el manejo de código Python permite a usuarios autenticados saltarse las restricciones y tomar control del servidor.
Los equipos de DevOps y automatización comienzan el año con trabajo extra. Una nueva vulnerabilidad crítica ha sido revelada en n8n, la popular herramienta de flujo de trabajo de código abierto. Rastreada como CVE-2025-68668, esta falla ha recibido una puntuación casi perfecta de 9.9 sobre 10 en la escala CVSS, lo que indica un riesgo extremo para cualquier instancia expuesta.
Este hallazgo llega justo después de la corrección de otra vulnerabilidad similar (CVE-2025-68613) reportada a finales de diciembre, lo que subraya la necesidad de una vigilancia constante en herramientas de “Low Code”.
El Fallo: Fuga de Pyodide
El problema reside específicamente en el Nodo de Código Python que utiliza la librería Pyodide para ejecutar scripts dentro de los flujos de trabajo.
- La Vulnerabilidad: Existe un mecanismo de “escape de sandbox”. Aunque se supone que el código Python debe ejecutarse en un entorno aislado, la falla permite romper estas barreras.
- El Impacto: Un usuario autenticado que tenga permisos para crear o modificar flujos de trabajo puede inyectar código malicioso que se ejecuta directamente en el sistema operativo host.
- Consecuencias: Esto otorga al atacante los mismos privilegios que el proceso de n8n, permitiéndole leer archivos confidenciales, instalar malware o pivotar hacia otras partes de la red interna.
Versiones Afectadas
La vulnerabilidad afecta a un rango amplio de versiones:
- Afectadas: Todas las versiones desde la 1.0.0 hasta (pero no incluyendo) la 2.0.0.
- Parcheada: El problema ha sido resuelto definitivamente en la versión 2.0.0.
Recomendaciones
La recomendación principal es actualizar a la versión 2.0.0 de inmediato, la cual introduce por defecto un nuevo sistema de ejecución basado en “Task Runners” nativos que ofrece un aislamiento superior.
- Desactivar el Nodo de Código: Configurando la variable de entorno NODES_EXCLUDE=[“n8n-nodes-base.code”].
- Desactivar Python: Configurando la variable N8N_PYTHON_ENABLED=false.
- Forzar el modo seguro: Configurar n8n para usar el sandbox basado en Task Runner mediante las variables N8N_RUNNERS_ENABLED y N8N_NATIVE_PYTHON_RUNNER.
