Vulnerabilidad en n8n (CVE-2025-57749)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-59 Incorrecta resolución de una ruta antes de aceder a un fichero (Seguimiento de enlaces)

Fecha de publicación:

20/08/2025

Última modificación:

03/09/2025

Descripción

n8n es una plataforma de automatización de flujos de trabajo. Antes de la versión 1.106.0, se descubrió una vulnerabilidad de cruce de enlaces simbólicos en el nodo de lectura/escritura de archivos de n8n. Si bien el nodo intenta restringir el acceso a directorios y archivos confidenciales, no tiene en cuenta los enlaces simbólicos. Un atacante con la capacidad de crear enlaces simbólicos (por ejemplo, mediante el nodo de ejecución de comandos) podría aprovechar esta vulnerabilidad para eludir las restricciones de directorio previstas y leer o escribir en rutas que de otro modo serían inaccesibles. Los usuarios de n8n.cloud no se ven afectados. Los usuarios afectados deben actualizar a la versión 1.106.0 o posterior.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.50 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno