Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

CVE-2026-27496

Gravedad CVSS v4.0:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
25/03/2026
Última modificación:
26/03/2026

Descripción

n8n es una plataforma de automatización de flujos de trabajo de código abierto. Antes de las versiones 1.123.22, 2.9.3 y 2.10.1, un usuario autenticado con permiso para crear o modificar flujos de trabajo podía usar el JavaScript Task Runner para asignar búferes de memoria no inicializados. Los búferes no inicializados pueden contener datos residuales del mismo proceso de Node.js — incluyendo datos de solicitudes anteriores, tareas, secretos o tokens — lo que resulta en la revelación de información sensible de datos en proceso. Los Task Runners deben habilitarse usando 'N8N_RUNNERS_ENABLED=true'. En modo de ejecutor externo, el impacto se limita a los datos dentro del proceso del ejecutor externo. El problema se ha solucionado en las versiones de n8n 1.123.22, 2.10.1 y 2.9.3. Los usuarios deben actualizar a esta versión o posterior para remediar la vulnerabilidad. Si la actualización no es posible de inmediato, los administradores deben considerar las siguientes mitigaciones temporales: Limitar los permisos de creación y edición de flujos de trabajo solo a usuarios de plena confianza, y/o usar el modo de ejecutor externo ('N8N_RUNNERS_MODE=external') para aislar el proceso del ejecutor. Estas soluciones alternativas no remedian completamente el riesgo y solo deben usarse como medidas de mitigación a corto plazo.

Impacto

Vector 4.0
CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N CVSS v4.0 Severidad y Métricas:

Puntuación base: 7.10 ALTA
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Alto
Integrity (VI): Ninguno
Availability (VA): Ninguno
Confidentiality (SC): Ninguno
Integrity (SI): Ninguno
Availability (SA): Ninguno

Puntuación base 4.0
7.10
Gravedad 4.0
ALTA

Referencias a soluciones, herramientas e información