Investigadores de ciberseguridad han revelado detalles de
otra falla de seguridad de máxima gravedad en
n8n, la popular plataforma de automatización de flujos de trabajo, que
permite a un atacante remoto no autenticado obtener control total sobre
instancias susceptibles.
La vulnerabilidad, identificada como
CVE-2026-21858 (CVSS: 10.0), ha sido bautizada como
Ni8mare
por Cyera Research Labs. El investigador de seguridad Dor Attias fue
reconocido por descubrir y reportar la falla el 9 de noviembre de 2025.
afecta a todas las versiones de n8n anteriores a la 1.65.0. Se ha
solucionado en la versión 1.121.0, publicada el 18 de noviembre de 2025. Cabe
destacar que las últimas versiones de la biblioteca son 1.123.10, 2.1.5, 2.2.4
y 2.3.0.
«Una vulnerabilidad en n8n permite a un atacante acceder a archivos en el
servidor subyacente mediante la ejecución de ciertos flujos de trabajo
basados en formularios»,
declaró n8n
en un aviso publicado hoy.
«Un flujo de trabajo vulnerable podría otorgar acceso a un atacante remoto
no autenticado. Esto podría resultar en la exposición de información
confidencial almacenada en el sistema y permitir una mayor vulnerabilidad,
dependiendo de la configuración de la implementación y el uso del flujo de
trabajo».
Con el último desarrollo, n8n ha revelado cuatro vulnerabilidades críticas en
las últimas dos semanas:
-
CVE-2025-68668 o N8scape
(CVSS: 9.9): vulnerabilidad de omisión de sandbox que podría permitir
que un usuario autenticado con permiso para crear o modificar flujos de
trabajo ejecute comandos arbitrarios en el sistema que ejecuta n8n
(corregido en la versión 2.0.0). -
CVE-2025-68613
(CVSS: 9.9): control inadecuado de los recursos de código gestionados
dinámicamente podría permitir a atacantes autenticados ejecutar código
remoto (RCE) en determinadas condiciones (corregido en las versiones
1.120.4, 1.121.1 y 1.122.0). -
CVE-2026-21877
(CVSS: 10.0): carga sin restricciones de un archivo tipo peligroso que podría permitir que un atacante
autenticado ejecute código a través del servicio n8n, lo que
compromete completamente la instancia (corregido en la versión 1.121.3). -
Sin embargo, a diferencia de las anteriores,
CVE-2026-21858 no requiere credenciales y aprovecha una falla de
confusión de tipo de contenido para extraer secretos confidenciales,
falsificar el acceso de administrador e incluso ejecutar comandos
arbitrarios en el servidor.
Según los detalles técnicos compartidos por Cyera, el problema principal
radica en el
webhook
y el mecanismo de gestión de archivos de n8n. La vulnerabilidad se produce
cuando se ejecuta una función de gestión de archivos sin verificar que el tipo
de contenido sea «multipart/form-data» y, por lo tanto, en lugar
de copiar un archivo cargado, se puede copiar cualquier archivo local del
sistema. Un atacante puede aprovechar la vulnerabilidad para leer archivos
arbitrarios de la instancia n8n y escalar a un RCE.
«El alcance de una n8n comprometida es enorme», declaró Cyera. Una
instancia n8n comprometida no solo implica la pérdida de un sistema, sino que
entrega a los atacantes las claves de todo: credenciales de API, tokens OAuth,
conexiones a bases de datos, almacenamiento en la nube, todo centralizado en
un solo lugar. N8n se convierte en un punto único de fallo y una mina de oro
para los cibercriminales.
Dada la gravedad de la falla, se recomienda a los usuarios actualizar a la
versión parcheada o posterior lo antes posible para una protección óptima,
evitar la exposición de n8n a Internet y aplicar la autenticación en todos los
formularios. Como solución temporal, se recomienda restringir o deshabilitar
los webhooks y endpoints de formularios de acceso público.
Fuente: THN