Ejecución remota de código en el nodo Merge del modo AlaSQL SQL de n8n
Las siguientes versiones de n8n están afectadas:
- 2.14.0;
- Versiones comprendidas entre 2.0.0-rc.0 y 2.13.3;
- Todas las versiones anteriores a 1.123.27.
duddnr0615k, simonkoeck, corydoras y nil340 han informado sobre 1 vulnerabilidad de severidad crítica que, en caso de ser explotada, podría permitir a atacantes acceder a archivos confidenciales en el servidor o incluso comprometer la instancia.
Se recomienda actualizar a una de las siguientes respectivas versiones: 2.14.1, 2.13.3, 1.123.27. Si no se puede actualizar se aconseja aplicar las medidas de mitigación descritas en los enlaces de las referencias.
CVE-2026-33660: vulnerabilidad de ejecución remota de código en el nodo Merge del modo AlaSQL SQL. La vulnerabilidad se debe a que el entorno aislado de AlaSQL no restringe suficientemente ciertas sentencias SQL, lo cual podría permitir a usuarios autenticados, con permisos para crear o modificar flujos de trabajo en el nodo, leer archivos locales en el host n8n y lograr la ejecución remota de código.
| Identificador CVE | Severidad | Explotación | Fabricante |
|---|---|---|---|
| CVE-2026-33660 | Crítica | No | n8n |
