Investigadores de ciberseguridad han revelado dos nuevas fallas de seguridad en la plataforma de automatización del flujo de trabajo n8n, incluida una vulnerabilidad crucial que podría resultar en la ejecución remota de código.
Las debilidades, descubiertas por el equipo de investigación de seguridad de JFrog, se enumeran a continuación:
- CVE-2026-1470 (Puntuación CVSS: 9,9): una vulnerabilidad de inyección de evaluación que podría permitir a un usuario autenticado omitir el mecanismo de zona de pruebas de Expression y lograr la ejecución remota completa de código en el nodo principal de n8n pasando código JavaScript especialmente diseñado.
- CVE-2026-0863 (Puntuación CVSS: 8,5): una vulnerabilidad de inyección de evaluación que podría permitir a un usuario autenticado eludir las restricciones del entorno limitado de python-task-executor de n8n y ejecutar código Python arbitrario en el sistema operativo subyacente.
Shachar Menashe, vicepresidente de investigación de seguridad de JFrog, dijo a The Hacker News que una de las razones del alto puntaje CVSS de CVE-2026-1470 a pesar de requerir autenticación es que «cualquier usuario de n8n puede explotar este problema y obtener un control completo de toda la instancia de n8n, lo que lo hace un poco más peligroso».
La explotación exitosa de las fallas podría permitir a un atacante secuestrar una instancia n8n completa, incluso en escenarios en los que opera en modo de ejecución «interno». En su documentación, n8n señala que el uso del modo interno en entornos de producción puede representar un riesgo de seguridad, instando a los usuarios a cambiar al modo externo para garantizar un aislamiento adecuado entre n8n y los procesos de ejecución de tareas.
«Como n8n abarca toda una organización para automatizar los flujos de trabajo de IA, contiene las claves para las herramientas, funciones y datos centrales de la infraestructura, incluidas las API de LLM, datos de ventas y sistemas IAM internos, entre otros», dijo JFrog en un comunicado compartido con The Hacker News. «Esto resulta en fugas que le dan al hacker una «llave maestra» efectiva para toda la corporación».
Para solucionar las fallas, se recomienda a los usuarios que actualicen a las siguientes versiones:
- CVE-2026-1470 – 1.123.17, 2.4.5 o 2.5.1
- CVE-2026-0863 – 1.123.14, 2.3.5 o 2.4.2
El desarrollo se produce apenas unas semanas después de que Cyera Research Labs detallara una falla de seguridad de máxima gravedad en n8n (CVE-2026-21858 también conocido como Ni8mare) que permite a un atacante remoto no autenticado obtener control total sobre instancias susceptibles. Al 27 de enero de 2026, más de 39.000 instancias n8n siguen siendo susceptibles a la falla, según datos de la Fundación Shadowserver.
«Estas vulnerabilidades resaltan lo difícil que es proteger de forma segura lenguajes dinámicos de alto nivel como JavaScript y Python», dijo el investigador Nathan Nehorai. «Incluso con múltiples capas de validación, listas de denegación y controles basados en AST implementados, se pueden aprovechar características sutiles del lenguaje y comportamientos de tiempo de ejecución para eludir las suposiciones de seguridad».
«En este caso, las construcciones obsoletas o poco utilizadas, combinadas con cambios en el intérprete y comportamiento de manejo de excepciones, fueron suficientes para salir de entornos limitados que de otro modo serían restrictivos y lograr la ejecución remota de código».