Una Al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / General / Vulnerabilidad crítica de ejecución remota de código en n8n

Vulnerabilidad crítica de ejecución remota de código en n8n

Por Deja un comentario

Se ha dado a conocer una vulnerabilidad crítica en n8n, una popular plataforma de automatización de flujos de trabajo de código abierto. Identificada como CVE-2025-68613, este fallo de seguridad permite la ejecución remota de código (RCE) en servidores que ejecutan n8n. En términos sencillos, un atacante podría aprovechar este fallo para tomar control total de un servidor n8n vulnerable, con los riesgos que ello conlleva para la confidencialidad, integridad y disponibilidad de los datos y procesos automatizados

¿Qué es el CVE-2025-68613?

El CVE-2025-68613 es una vulnerabilidad de ejecución remota de código (RCE) autenticada que afecta a n8n, la plataforma de automatización de flujos de trabajo. El fallo reside en el sistema de evaluación de expresiones de n8n: bajo determinadas condiciones, las expresiones proporcionadas por usuarios autenticados durante la configuración de un workflow pueden evaluarse en un contexto de ejecución que no está adecuadamente aislado del entorno subyacente. En otras palabras, un usuario con acceso a n8n (aunque no sea administrador) podría inyectar una expresión maliciosa en un flujo de trabajo y lograr que se ejecute como código en el servidor. Esto sucede porque el mecanismo que evalúa esas expresiones no impone un sandbox (aislamiento) suficiente, permitiendo que las expresiones «escapen» de su contexto previsto.

Esta vulnerabilidad, reportada a través del programa de seguridad de GitHub, se considera crítica. Afecta a prácticamente todas las versiones recientes de n8n: desde la versión 0.211.0 en adelante, hasta antes de las correcciones introducidas en 1.120.4, 1.121.1 y 1.122.0. Dicho de otro modo, si estás ejecutando una versión de n8n anterior a las mencionadas, tu instancia es vulnerable a este fallo. La explotación requiere que el atacante pueda autenticarse en la instancia (es decir, necesita credenciales de algún usuario), pero no requiere privilegios elevados más allá de los normales de creación o edición de workflows. Esto convierte al CVE-2025-68613 en un problema especialmente preocupante para implementaciones de n8n con múltiples usuarios o aquellas expuestas en entornos donde un atacante pudiera obtener un acceso básico.

Impacto y gravedad

El impacto del CVE-2025-68613 es muy alto, con una calificación de severidad crítica. Según la base de datos de vulnerabilidades NVD del NIST, el puntaje base asignado (CVSS 3.1) es 9.9 de 10, cercano al máximo posible. Esto se debe a que el fallo es explotable vía red, con baja complejidad, sin necesidad de interacción del usuario víctima, y puede comprometer por completo el sistema afectado una vez que el atacante tiene al menos un acceso válido de bajo privilegio. En términos prácticos, una explotación exitosa equivale a que el atacante tome control total de la instancia de n8n, pudiendo realizar cualquier acción que el proceso de n8n tenga permiso de hacer en el servidor.

¿Qué puede implicar una toma de control total?

A continuación, enumeramos algunas de las consecuencias potenciales si un atacante explota esta vulnerabilidad:

  • Ejecución de comandos del sistema operativo: el atacante podría ejecutar comandos arbitrarios en el servidor con los mismos privilegios que el proceso n8n, tomando el control del host.
  • Acceso y modificación de archivos sensibles: podría leer o alterar archivos en el servidor, incluyendo configuraciones, registros (logs), o incluso inyectar backdoors para persistencia.
  • Robo de credenciales y secretos: dado que n8n suele almacenar o manejar credenciales (como tokens de API, contraseñas de bases de datos, claves y secretos para integraciones), un atacante podría extraer estas credenciales y utilizarlas para acceder a otros sistemas.
  • Manipulación de flujos de trabajo: el atacante tendría la capacidad de modificar los workflows automatizados (o crear nuevos maliciosos), lo que podría ser usado para desactivar medidas de seguridad, exfiltrar datos o causar comportamientos dañinos en cadena en otras aplicaciones integradas.
  • Movimiento lateral en la red: con el servidor n8n comprometido, un adversario podría pivotar hacia otros activos de la infraestructura empresarial. Por ejemplo, desde n8n (que con frecuencia se integra con bases de datos, servicios en la nube y APIs internas) podría intentar extender el ataque a esos sistemas relacionados, comprometiendo más componentes del entorno.

Cabe destacar que la mera existencia de la vulnerabilidad representa un riesgo crítico. La facilidad con la que podría ser explotada (una vez obtenidas credenciales válidas) y las altas recompensas para el atacante (control total del sistema y datos) hacen que esta vulnerabilidad deba ser tratada con carácter de urgencia. Incluso en entornos cerrados, un usuario interno malicioso o un atacante que robe una cuenta de usuario podrían desencadenar un desastre de seguridad si el sistema no está parcheado.

Soluciones y recomendaciones

Dada la gravedad de esta vulnerabilidad, la principal recomendación es aplicar lo antes posible las actualizaciones oficiales que corrigen el problema. Los desarrolladores de n8n han lanzado parches en las siguientes versiones: 1.120.4, 1.121.1 y 1.122.0, las cuales incorporan protecciones adicionales para restringir la evaluación de expresiones. En particular, el aviso de seguridad publicado en GitHub recomienda actualizar directamente a n8n v1.122.0 o superior, ya que en esa versión se introducen controles más estrictos que evitan la ejecución de código arbitrario desde expresiones. Actualizar n8n a una versión parcheada es la única forma de eliminar por completo el riesgo de CVE-2025-68613.

Además de aplicar el parche, es buena idea verificar los logs y la configuración de n8n en busca de signos de explotación si se sospecha que la instancia pudo haber estado expuesta. Por ejemplo, revisar si hay expresiones inusuales en workflows, comandos inesperados ejecutados o nuevas conexiones salientes desde el servidor. Si se detecta cualquier indicio, se debe iniciar un protocolo de respuesta a incidentes. En caso de no detectar nada, igualmente asumir que la vulnerabilidad podría haber sido explotada y considerar cambiar credenciales y tokens que estuvieran almacenados en n8n por precaución.

Más información:

Acerca de Adrián Vidal

Adrián Vidal Ha escrito 28 publicaciones.

Responsable del departamento de auditoría de Hispasec y jugador de CTF en el equipo español Flaggermeister.

Interacciones con los lectores

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.