Investigadores de ciberseguridad han revelado detalles de dos fallas de seguridad ahora parcheadas en la plataforma de automatización de flujo de trabajo n8n, incluidos dos errores críticos que podrían resultar en la ejecución de comandos arbitrarios.
Las vulnerabilidades se enumeran a continuación:
- CVE-2026-27577 (Puntuación CVSS: 9,4) – Escape de la zona de pruebas de expresión que conduce a la ejecución remota de código (RCE)
- CVE-2026-27493 (Puntuación CVSS: 9,5) – Evaluación de expresiones no autenticadas a través de los nodos de formulario de n8n
«CVE-2026-27577 es un escape de espacio aislado en el compilador de expresiones: un caso faltante en la reescritura de AST permite que el proceso se escape sin transformar, dando a cualquier expresión autenticada RCE completo», dijo el investigador de Pillar Security Eilon Cohen, quien descubrió e informó los problemas, en un informe compartido con The Hacker News.
La empresa de ciberseguridad describió CVE-2026-27493 como un «error de doble evaluación» en los nodos de formulario de n8n del que se podría abusar para la inyección de expresiones aprovechando el hecho de que los puntos finales del formulario son públicos por diseño y no requieren autenticación ni una cuenta de n8n.
Todo lo que se necesita para una explotación exitosa es aprovechar un formulario público «Contáctenos» para ejecutar comandos de shell arbitrarios simplemente proporcionando una carga útil como entrada en el campo Nombre.
En un aviso publicado a finales del mes pasado, n8n dijo que CVE-2026-27577 podría ser utilizado como arma por un usuario autenticado con permiso para crear o modificar flujos de trabajo para desencadenar la ejecución involuntaria de comandos del sistema en el host que ejecuta n8n a través de expresiones diseñadas en los parámetros del flujo de trabajo.
N8n también señaló que CVE-2026-27493, cuando se encadena con una expresión de escape de espacio aislado como CVE-2026-27577, podría «escalar a la ejecución remota de código en el host n8n». Ambas vulnerabilidades afectan las implementaciones autohospedadas y en la nube de n8n.
Si el parche inmediato de CVE-2026-27577 no es una opción, se recomienda a los usuarios que limiten la creación de flujos de trabajo y los permisos de edición a usuarios de plena confianza e implementen n8n en un entorno reforzado con privilegios de sistema operativo y acceso a la red restringidos.
En cuanto a CVE-2026-27493, n8n recomienda las siguientes mitigaciones:
- Revise el uso de nodos de formulario manualmente para conocer las condiciones previas mencionadas anteriormente.
- Deshabilite el nodo Formulario agregando n8n-nodes-base.form a la variable de entorno NODES_EXCLUDE.
- Deshabilite el nodo Activador de formulario agregando n8n-nodes-base.formTrigger a la variable de entorno NODES_EXCLUDE.
«Estas soluciones no solucionan completamente el riesgo y sólo deben usarse como medidas de mitigación a corto plazo», advirtieron quienes los mantuvieron.
Pillar Security dijo que un atacante podría aprovechar estas fallas para leer la variable de entorno N8N_ENCRYPTION_KEY y usarla para descifrar cada credencial almacenada en la base de datos de n8n, incluidas las claves de AWS, las contraseñas de la base de datos, los tokens de OAuth y las claves de API.
Las versiones 2.10.1, 2.9.3 y 1.123.22 de N8n también resuelven dos vulnerabilidades críticas más de las que también se podría abusar para lograr la ejecución de código arbitrario:
- CVE-2026-27495 (Puntuación CVSS: 9,4): un usuario autenticado con permiso para crear o modificar flujos de trabajo podría aprovechar una vulnerabilidad de inyección de código en el entorno limitado de JavaScript Task Runner para ejecutar código arbitrario fuera de los límites del entorno limitado.
- CVE-2026-27497 (Puntuación CVSS: 9,4): un usuario autenticado con permiso para crear o modificar flujos de trabajo podría aprovechar el modo de consulta SQL del nodo Merge para ejecutar código arbitrario y escribir archivos arbitrarios en el servidor n8n.
Además de limitar los permisos de creación y edición del flujo de trabajo a usuarios confiables, n8n ha descrito las siguientes soluciones para cada falla:
- CVE-2026-27495 – Utilice el modo de corredor externo (N8N_RUNNERS_MODE=externo) para limitar el radio de explosión.
- CVE-2026-27497 – Deshabilite el nodo Merge agregando n8n-nodes-base.merge a la variable de entorno NODES_EXCLUDE.
Si bien n8n no menciona ninguna de estas vulnerabilidades que se estén explotando en la naturaleza, se recomienda a los usuarios que mantengan sus instalaciones actualizadas para una protección óptima.