Investigadores de ciberseguridad han revelado detalles de dos fallas de seguridad ahora parcheadas en la plataforma de automatización de flujo de trabajo n8n, incluidos dos errores críticos que podrían resultar en la ejecución de comandos arbitrarios.
Las vulnerabilidades se enumeran a continuación:
- CVE-2026-27577 (Puntuación CVSS: 9,4) – Escape de la zona de pruebas de expresión que conduce a la ejecución remota de código (RCE)
- CVE-2026-27493 (Puntuación CVSS: 9,5) – Evaluación de expresiones no autenticadas a través de los nodos de formulario de n8n
“CVE-2026-27577 es un escape de espacio marginado en el compilador de expresiones: un caso faltante en la reescritura de AST permite que el proceso se escape sin alterar, dando a cualquier expresión autenticada RCE completo”, dijo el investigador de Pillar Security Eilon Cohen, quien descubrió e informó los problemas, en un mensaje compartido con The Hacker News.
La empresa de ciberseguridad describió CVE-2026-27493 como un “error de doble evaluación” en los nodos de formulario de n8n del que se podría pasarse para la inyección de expresiones aprovechando el hecho de que los puntos finales del formulario son públicos por diseño y no requieren autenticación ni una cuenta de n8n.
Todo lo que se necesita para una explotación exitosa es explotar un formulario divulgado “Contáctenos” para ejecutar comandos de shell arbitrarios simplemente proporcionando una carga útil como entrada en el campo Nombre.
En un aviso publicado a finales del mes pasado, n8n dijo que CVE-2026-27577 podría ser utilizado como arsenal por un becario autenticado con permiso para crear o modificar flujos de trabajo para desencadenar la ejecución involuntaria de comandos del sistema en el host que ejecuta n8n a través de expresiones diseñadas en los parámetros del flujo de trabajo.
N8n además señaló que CVE-2026-27493, cuando se encadena con una expresión de escape de zona protegida como CVE-2026-27577, podría “ascender a la ejecución remota de código en el host n8n”. Ambas vulnerabilidades afectan las implementaciones autohospedadas y en la nimbo de n8n.
Si el parche inmediato de CVE-2026-27577 no es una opción, se recomienda a los usuarios que limiten la creación de flujos de trabajo y los permisos de estampado a usuarios de plena confianza e implementen n8n en un entorno reforzado con privilegios de sistema operante y entrada a la red restringidos.
En cuanto a CVE-2026-27493, n8n recomienda las siguientes mitigaciones:
- Revise el uso de nodos de formulario manualmente para conocer las condiciones previas mencionadas anteriormente.
- Deshabilite el nodo Formulario agregando n8n-nodes-base.form a la variable de entorno NODES_EXCLUDE.
- Deshabilite el nodo Activador de formulario agregando n8n-nodes-base.formTrigger a la variable de entorno NODES_EXCLUDE.
“Estas soluciones no solucionan completamente el peligro y sólo deben estar de moda como medidas de mitigación a corto plazo”, advirtieron quienes los mantuvieron.
Pillar Security dijo que un atacante podría explotar estas fallas para adivinar la variable de entorno N8N_ENCRYPTION_KEY y usarla para descifrar cada credencial almacenada en la almohadilla de datos de n8n, incluidas las claves de AWS, las contraseñas de la almohadilla de datos, los tokens de OAuth y las claves de API.
Las versiones 2.10.1, 2.9.3 y 1.123.22 de N8n además resuelven dos vulnerabilidades críticas más de las que además se podría pasarse para obtener la ejecución de código abusivo:
- CVE-2026-27495 (Puntuación CVSS: 9,4): un becario autenticado con permiso para crear o modificar flujos de trabajo podría explotar una vulnerabilidad de inyección de código en el entorno constreñido de JavaScript Task Runner para ejecutar código abusivo fuera de los límites del entorno constreñido.
- CVE-2026-27497 (Puntuación CVSS: 9,4): un becario autenticado con permiso para crear o modificar flujos de trabajo podría explotar el modo de consulta SQL del nodo Merge para ejecutar código abusivo y escribir archivos arbitrarios en el servidor n8n.
Adicionalmente de demarcar los permisos de creación y estampado del flujo de trabajo a usuarios confiables, n8n ha descrito las siguientes soluciones para cada descompostura:
- CVE-2026-27495 – Utilice el modo de corredor forastero (N8N_RUNNERS_MODE=forastero) para demarcar el radiodifusión de crisis.
- CVE-2026-27497 – Deshabilite el nodo Merge agregando n8n-nodes-base.merge a la variable de entorno NODES_EXCLUDE.
Si correctamente n8n no menciona ninguna de estas vulnerabilidades que se estén explotando en la naturaleza, se recomienda a los usuarios que mantengan sus instalaciones actualizadas para una protección óptima.
