Tres nuevos avisos de seguridad y dos actualizaciones

CVE-2026-1470: ejecución remota de código (RCE) en el sistema de evaluación de expresiones de flujo de trabajo. Las expresiones proporcionadas por usuarios autenticados durante la configuración del flujo de trabajo pueden evaluarse en un contexto de ejecución que no está suficientemente aislado del entorno de ejecución subyacente. Un atacante autenticado podría abusar de este comportamiento para ejecutar código arbitrario con los privilegios del proceso n8n. Su explotación podría comprometer por completo la instancia afectada, incluyendo el acceso no autorizado a datos confidenciales, la modificación de flujos de trabajo y la ejecución de operaciones a nivel de sistema.

• CVE-2025-40553 y CVE-2025-40551: vulnerabilidades de deserialización de datos no confiable que podrían causar que un atacante pueda ejecutar de forma remota comandos en el equipo host.
• CVE-2025-40554: vulnerabilidad de omisión de autenticación que, si se aprovecha, podría habilitar a un atacante invocar acciones específicas.
• CVE-2025-40552: vulnerabilidad de omisión de autenticación que, si se aprovecha, habilitaría a un agente malicioso llevar a cabo acciones y procedimientos que deberían estar protegidos mediante una autenticación previa.

Para las vulnerabilidades de severidad alta se han asignado los siguientes identificadores: CVE-2025-40536 y CVE-2025-40537.

CVE-2026-1469: Cross-Site Scripting (XSS) almacenado en PlanManager de RLE NOVA. Esta vulnerabilidad permite a un atacante ejecutar código JavaScript en el navegador de la víctima inyectando una carga maliciosa a través de los parámetros 'comentario' y 'marca' en '/index.php'. La carga útil es almacenada por la aplicación y posteriormente se muestra sin la debida desinfección cuando otros usuarios acceden a ella. Esta vulnerabilidad puede ser explotada para robar datos confidenciales del usuario, como cookies de sesión, o para realizar acciones en nombre del usuario.

• CVE-2026-24858: omisión de autenticación mediante una ruta o canal alternativo. Esta vulnerabilidad podría permitir que un atacante con una cuenta de FortiCloud y un dispositivo registrado, inicie sesión en otros dispositivos registrados en otras cuentas, si la autenticación SSO de FortiCloud está habilitada en esos dispositivos. La función de inicio de sesión SSO de FortiCloud no está habilitada en la configuración predeterminada de fábrica. Sin embargo, cuando un administrador registra el dispositivo en FortiCare desde la interfaz gráfica de usuario (GUI), a menos que desactive la opción "Permitir inicio de sesión administrativo con FortiCloud SSO" en la página de registro, el inicio de sesión SSO de FortiCloud se habilita al registrarse.

Nota: esta vulnerabilidad fue explotada por dos cuentas maliciosas de FortiCloud, las cuales fueron bloqueadas el 22/01/2026. Para proteger a sus clientes de futuras vulnerabilidades, Fortinet desactivó el SSO de FortiCloud el 26/01/2026. Se volvió a habilitar el 27/01/2026 y ya no permite el inicio de sesión desde dispositivos con versiones vulnerables.

CVE-2025-41084: Cross-Site Scripting (XSS) almacenado en la aplicación web de Sesame, debida a que las imágenes SVG subidas no se limpian adecuadamente. Esto permite a los atacantes incrustar scripts maliciosos en archivos SVG enviando una solicitud POST utilizando el parámetro 'logo' en '/api/v3/companies/<ID>/logo' que, posteriormente, se almacenan en el servidor y se ejecutan en el contexto de cualquier usuario que acceda al recurso comprometido.