Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Dos nuevos avisos de seguridad

Índice

  • Omisión de espacio aislado en el nodo de código Python de n8n
  • Múltiples vulnerabilidades en VMware Tanzu

Omisión de espacio aislado en el nodo de código Python de n8n

Fecha29/12/2025
Importancia5 - Crítica
Recursos Afectados

Las versiones desde la 1.0.0 hasta la 2.0.0 de n8n están afectadas.

Descripción

berkdedekarginoglu y VladimirEliTokarev han reportado 1 vulnerabilidad de severidad crítica que, en caso de ser explotada, podría permitir a un atacante autenticado con permisos para crear o modificar flujos de trabajo ejecutar comandos arbitrarios en el sistema afectado.

Solución

Se recomienda actualizar a la versión 2.0.0. 

Para aquellos que no puedan actualizar la herramienta y tengan la versión 1.111.0 de n8n se recomienda configurar las variables de entorno N8N_RUNNERS_ENABLED y N8N_NATIVE_PYTHON_RUNNER.

Como soluciones alternativas, véase el enlace de las referencias.

Detalle

CVE-2025-68668: vulnerabilidad de tipo sandbox bypass (omisión de espacio aislado) presente en el nodo de código Python de n8n. Explotar esta vulnerabilidad permitiría a un atacante o usuario autenticado con permisos para crear o modificar flujos de trabajo ejecutar comandos arbitrarios en el sistema afectado con el mismo nivel de privilegios que el proceso n8n.

Múltiples vulnerabilidades en VMware Tanzu

Fecha29/12/2025
Importancia5 - Crítica
Recursos Afectados
  • VMware Tanzu Data Intelligence;
  • VMware Tanzu Data Suite;
  • VMware Tanzu Greenplum;
  • Tanzu Kubernetes Runtime;
  • VMware Tanzu Application Service;
  • VMware Tanzu Kubernetes Grid Integrated Edition;
  • VMware Tanzu Platform;
  • VMware Tanzu Platform - Cloud Foundry;
  • VMware Tanzu Platform Core;
  • VMware Tanzu Platform - Kubernetes;
  • VMware Tanzu Platform - SM;
  • VMware Tanzu Data Services;
  • VMware Tanzu for Postgres;
  • VMware Tanzu Platform Data;
  • VMware Tanzu SQL;
  • VMware Tanzu Data Services Pack;
  • VMware Tanzu Gemfire;
  • App Suite;
  • RabbitMQ;
  • Services Suite;
  • VMware Tanzu RabbitMQ.
Descripción

Broadcom ha publicado en los últimos días 96 avisos de seguridad, 19 de ellos con alguna vulnerabilidad crítica que afecta a VMware Tanzu. En estos 19 avisos se resuelven 4.443 vulnerabilidades, 38 críticas, 962 altas, 3.184 medias y 259 bajas.

Solución

Actualizar a la última versión.

Detalle

Las vulnerabilidades de severidad crítica están relacionadas con:

  • Gestión incorrecta del búfer: CVE-2015-8863, CVE-2021-38297, CVE-2023-52735 y CVE-2024-38541;
  • Problemas con datos e información, como acceso a información no autorizada, derreferencia a punteros nulos, etc: CVE-2017-5929; CVE-2020-29509; CVE-2020-29510; CVE-2020-29511; CVE-2021-3773; CVE-2022-23806; CVE-2023-48022; CVE-2024-27053; CVE-2024-35845; CVE-2024-35960; CVE-2024-38612; CVE-2024-47175 y CVE-2025-6965;
  • Inyección, de comandos, de código, SQL, etc.: CVE-2023-24538; CVE-2023-24540; CVE-2023-29402; CVE-2023-29404; CVE-2023-29405; CVE-2025-62593 y CVE-2025-64459;
  • Gestión de accesos a memoria, escritura y/o lectura fuera de límites, uso después de la liberación: CVE-2019-12900; CVE-2021-43527; CVE-2024-23807 y CVE-2024-37371;
  • Otros o no especificado: CVE-2024-38428; CVE-2024-36031; CVE-2025-4517; CVE-2024-47685; CVE-2023-24531; CVE-2024-24790; CVE-2024-45337; CVE-2025-22871 y CVE-2025-34351.