Múltiples vulnerabilidades en n8n
Fecha de publicación 05/02/2026
Identificador
INCIBE-2026-092
Importancia
5 - Crítica
Recursos Afectados
- Versiones anteriores a 2.4.8;
- Versiones anteriores a 1.118.0;
- Versiones desde la 2.0.0 hasta la 2.5.0;
- Versiones anteriores a la 1.123.18.
Descripción
Varios investigadores han informado sobre 4 vulnerabilidades críticas que, en caso de ser explotadas podrían permitir ejecución de código remoto, comandos arbitrarios, obtener datos críticos de configuración y credenciales de usuario.
Solución
Actualizar a las versiones correspondientes:
- 2.4.8;
- 1.118.0;
- 2.5.0;
- 1.123.18.
Detalle
- CVE-2026-25115: vulnerabilidad en el nodo de código Python permite a los usuarios autenticados salir del entorno sandbox de Python y ejecutar código fuera del límite de seguridad previsto.
- CVE-2026-25056: vulnerabilidad en el modo de consulta SQL del nodo Merge permitía a usuarios autenticados con permiso para crear o modificar flujos de trabajo escribir archivos arbitrarios en el sistema de archivos del servidor n8n, lo que potencialmente podía conducir a la ejecución remota de código.
- CVE-2026-25053: vulnerabilidad en el nodo Git permitían a usuarios autenticados con permiso para crear o modificar flujos de trabajo ejecutar comandos de sistema arbitrarios o leer archivos arbitrarios en el host n8n.
- CVE-2026-25052: vulnerabilidad en los controles de acceso a archivos permite a usuarios autenticados con permiso para crear o modificar flujos de trabajo y leer archivos confidenciales del sistema host n8n. Esto puede explotarse para obtener datos críticos de configuración y credenciales de usuario, lo que puede llevar al robo total de la cuenta de cualquier usuario de la instancia.
CVE
| Identificador CVE | Severidad | Explotación | Fabricante |
|---|---|---|---|
| CVE-2026-25115 | Crítica | No | n8n |
| CVE-2026-25056 | Crítica | No | n8n |
| CVE-2026-25053 | Crítica | No | n8n |
| CVE-2026-25052 | Crítica | No | n8n |
Listado de referencias
Etiquetas
