Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en n8n de n8n-io (CVE-2026-33724)

Gravedad CVSS v4.0:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
25/03/2026
Última modificación:
27/03/2026

Descripción

n8n es una plataforma de automatización de flujos de trabajo de código abierto. Antes de la versión 2.5.0, cuando la característica de Control de Código Fuente está configurada para usar SSH, el comando SSH utilizado para las operaciones de git deshabilitaba explícitamente la verificación de la clave de host. Un atacante de red posicionado entre la instancia de n8n y el servidor Git remoto podría interceptar la conexión y presentar una clave de host fraudulenta, inyectando potencialmente contenido malicioso en los flujos de trabajo o interceptando datos del repositorio. Este problema solo afecta a las instancias donde la característica de Control de Código Fuente ha sido explícitamente habilitada y configurada para usar SSH (no predeterminada). El problema ha sido solucionado en la versión 2.5.0 de n8n. Los usuarios deben actualizar a esta versión o posterior para remediar la vulnerabilidad. Si la actualización no es posible de inmediato, los administradores deben considerar las siguientes mitigaciones temporales: Deshabilitar la característica de Control de Código Fuente si no es activamente requerida, y/o restringir el acceso a la red para asegurar que la instancia de n8n se comunique con el servidor Git solo a través de rutas de red confiables y controladas. Estas soluciones provisionales no remedian completamente el riesgo y solo deben usarse como medidas de mitigación a corto plazo.

Impacto

Vector 4.0
CVSS:4.0/AV:N/AC:H/AT:P/PR:N/UI:N/VC:L/VI:L/VA:N/SC:L/SI:L/SA:L CVSS v4.0 Severidad y Métricas:

Puntuación base: 6.30 MEDIA
Vector: CVSS:4.0/AV:N/AC:H/AT:P/PR:N/UI:N/VC:L/VI:L/VA:N/SC:L/SI:L/SA:L

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Attack Requirements (AT): Present
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Bajo
Integrity (VI): Bajo
Availability (VA): Ninguno
Confidentiality (SC): Bajo
Integrity (SI): Bajo
Availability (SA): Bajo

Puntuación base 4.0
6.30
Gravedad 4.0
MEDIA
Vector 3.x
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.40 ALTA
Vector: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x
7.40
Gravedad 3.x
ALTA

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:n8n:n8n:*:*:*:*:*:node.js:*:* 2.5.0 (excluyendo)

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página


Referencias a soluciones, herramientas e información