CVE-2026-33713

n8n es una plataforma de automatización de flujos de trabajo de código abierto. Antes de las versiones 2.14.1, 2.13.3 y 1.123.26, un usuario autenticado con permiso para crear o modificar flujos de trabajo podría explotar una vulnerabilidad de inyección SQL en el nodo Data Table Get. En la base de datos SQLite predeterminada, las sentencias individuales pueden ser manipuladas y la superficie de ataque está prácticamente limitada. En implementaciones de PostgreSQL, la ejecución de múltiples sentencias es posible, lo que permite la modificación y eliminación de datos. El problema ha sido solucionado en las versiones de n8n 1.123.26, 2.13.3 y 2.14.1. Los usuarios deben actualizar a una de estas versiones o posteriores para remediar la vulnerabilidad. Si la actualización no es posible de inmediato, los administradores deben considerar las siguientes mitigaciones temporales: Limitar los permisos de creación y edición de flujos de trabajo solo a usuarios de plena confianza, deshabilitar el nodo Data Table añadiendo 'n8n-nodes-base.dataTable' a la variable de entorno 'NODES_EXCLUDE', y/o revisar los flujos de trabajo existentes en busca de nodos Data Table Get donde 'orderByColumn' esté configurado con una expresión que incorpore entrada externa o proporcionada por el usuario. Estas soluciones provisionales no remedian completamente el riesgo y solo deben usarse como medidas de mitigación a corto plazo.