Vulnerabilidades críticas en n8n en 2026

Vulnerabilidad - 01/2026

Introducción

CVE-2025-68613 es una vulnerabilidad de ejecución remota de código (RCE) que afecta a n8n, una plataforma de automatización que permite construir flujos de trabajo mediante nodos y expresiones dinámicas.

Análisis

CVE-2025-68613 - CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H - 9,9

CVE-2025-68613 es una vulnerabilidad en el sistema de evaluación de expresiones de los workflows que  permite que código malicioso proporcionado por un usuario autenticado se ejecute en un contexto no aislado del motor, lo que posibilita ejecución arbitraría de código con los permisos del proceso n8n.

Versiones afectadas

Todas las versiones de n8n desde 0.211.0 hasta las anteriores a 1.120.4, 1.121.1 y 1.122.0 están afectadas.

Recomendaciones

Instalar versiones parcheadas como la 1.120.4, 1.121.1, 1.122.0 o posteriores.

Workarounds

En caso de que no sea posible aplicar la actualización de forma inmediata, se recomienda que los administradores adopten medidas provisionales, como restringir la creación y modificación de flujos de trabajo exclusivamente a usuarios plenamente confiables, así como desplegar n8n en un entorno reforzado, con permisos limitados a nivel de sistema operativo y controles de acceso a la red, con el fin de minimizar el impacto de una posible explotación.

Referencias

• https://github.com/n8n-io/n8n/security/advisories/GHSA-v98v-ff95-f3cp
• https://www.npmjs.com/package/n8n
• https://thehackernews.com/2025/12/critical-n8n-flaw-cvss-99-enables.html

Vulnerabilidad - 12/03

Introducción

CVE-2026-27493 y CVE-2026-27577 afectan a n8n, una herramienta open-source que integra servicios, automatiza procesos y orquesta flujos de datos entre aplicaciones. Debido a su uso frecuente en entornos empresariales, especialmente en integraciones con APIs y servicios externos, cualquier vulnerabilidad en esta plataforma puede tener un impacto significativo en la seguridad de los sistemas que dependen de ella.

Ambas están relacionadas con el sistema de evaluación de expresiones de n8n y permiten que entradas manipuladas o expresiones maliciosas sean interpretadas por el motor interno del software. Dependiendo de las condiciones de explotación, estas fallas pueden permitir desde la manipulación de workflows hasta la ejecución de código o comandos en el servidor que ejecuta la aplicación. 

Análisis

CVE-2026-27493 - CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H- 9,5

CVE-2026-27493 se produce debido a un problema en la forma en que n8n evalúa automáticamente expresiones dentro de ciertos campos de formularios. Cuando un valor introducido por el usuario comienza con el carácter =, el sistema puede interpretarlo como una expresión que debe evaluarse en lugar de tratarlo como texto normal. Esto abre la puerta a que un atacante introduzca contenido manipulado que posteriormente sea evaluado por el motor de expresiones del sistema. La vulnerabilidad se relaciona con una inyección de expresiones de segundo orden, lo que significa que el contenido malicioso se introduce inicialmente como datos aparentemente inofensivos y se ejecuta más tarde cuando el workflow lo procesa. Para que esta vulnerabilidad pueda ser explotada, deben cumplirse ciertas condiciones dentro del workflow:

• El workflow debe utilizar nodos de formulario (Form nodes) que acepten entrada de usuarios
• Dichos formularios deben estar accesibles sin autenticación
• El valor introducido por el usuario debe comenzar con el carácter =

Para esta vulnerabilidad se proponen los siguientes workarounds:

• Revisar manualmente el uso de los nodos de formulario 
• Deshabilitar el nodo Formulario agregándolo n8n-nodes-base.forma la NODES_EXCLUDEvariable de entorno
• Deshabilitar el nodo Activador de formulario agregándolo n8n-nodes-base.formTriggera la NODES_EXCLUDEvariable de entorno

CVE-2026-27577 - CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H - 9,4

CVE-2026-27577 permite que un usuario autenticado con permisos para crear o modificar workflows pueda ejecutar comandos del sistema en el servidor que ejecuta n8n, mediante el uso de expresiones manipuladas dentro de los parámetros del flujo de trabajo. En determinadas circunstancias, un usuario con permisos para editar workflows puede introducir expresiones especialmente diseñadas dentro de los parámetros de un nodo, que el sistema interpreta y ejecuta durante el procesamiento del flujo. Esto puede provocar la ejecución no intencionada de comandos del sistema operativo, el escape del entorno de seguridad de las expresiones (sandbox) y el acceso directo al sistema que ejecuta n8n.

Para que esta vulnerabilidad pueda ser explotada, deben cumplirse ciertos requisitos:

• El atacante debe estar autenticado en la plataforma
• Debe tener permisos para crear o modificar workflows
• Debe poder insertar expresiones manipuladas dentro de parámetros de nodos
• Las expresiones deben ser evaluadas durante la ejecución del workflow

Ambas vulnerabilidades afectan a las versiones anteriores a 1.123.22, desde 2.0.0 hasta 2.9.2 y la versión 2.10.0. El problema se solucionó mediante actualizaciones de seguridad en las versiones 1.123.22, 2.9.3, 2.10.1 y posteriores.

Referencias

• https://github.com/n8n-io/n8n/security/advisories/GHSA-75g8-rv7v-32f7
• https://github.com/n8n-io/n8n/security/advisories/GHSA-vpcf-gvg4-6qwr
• https://www.pillar.security/blog/zero-click-unauthenticated-rce-in-n8n-a-contact-form-that-executes-shell-commands
• https://thehackernews.com/2026/03/critical-n8n-flaws-allow-remote-code.html