¿Qué es CVE-2026-25049 en n8n?

CVE-2026-25049 es una vulnerabilidad crítica en n8n que permite la ejecución remota de código en el servidor mediante bypass del sandbox de flujos de trabajo y errores de tipo en JavaScript, comprometiendo instancias expuestas.

¿Qué versiones de n8n están afectadas?

Las versiones anteriores a 1.123.17 y 2.5.2 están afectadas. Se recomienda actualizar de inmediato a estas versiones para eliminar la vulnerabilidad.

¿Cómo pueden los atacantes explotar esta vulnerabilidad?

Un atacante autenticado que pueda crear o editar flujos de trabajo puede ejecutar código arbitrario en el servidor, acceder a objetos globales de Node.js, robar credenciales y potencialmente comprometer otros servicios o tenants.

¿Cuáles son las medidas recomendadas para mitigar CVE-2026-25049?

Se recomienda actualizar a n8n 1.123.17 o 2.5.2, rotar todas las claves y credenciales, restringir la edición de flujos a usuarios confiables, ejecutar n8n con privilegios limitados y auditar flujos existentes en busca de expresiones sospechosas.

¿Qué riesgos implica no actualizar n8n?

No actualizar n8n puede permitir a atacantes autenticados ejecutar código remoto, robar credenciales, comprometer servidores completos y acceder a servicios conectados, especialmente en entornos multi-tenant.

¿Esta vulnerabilidad ya tiene exploits públicos?

Hasta el momento no hay exploits públicos confirmados, pero los investigadores advierten que los atacantes están escaneando endpoints expuestos, por lo que la actualización inmediata es crucial.

¿Por qué es crítica la vulnerabilidad CVE-2026-25049?

n8n es ampliamente usado para automatización de flujos y entornos de IA, lo que lo convierte en un objetivo estratégico. La vulnerabilidad permite control total del servidor, lo que representa un riesgo alto para organizaciones y usuarios.

n8n en Riesgo Crítico por una Falla que Permite la ejecución remota de Código y el Control total del Servidor | Noticias Hacking y Seguridad Informática

Investigadores de seguridad han divulgado múltiples vulnerabilidades críticas en la popular plataforma open-source de automatización de flujos de trabajo n8n, identificadas como CVE-2026-25049 y que podrían permitir a atacantes tomar control completo del servidor.

Estas fallas afectan a cualquier instancia de n8n donde un atacante pueda crear o editar flujos de trabajo, habilitando ejecución remota de código sin restricciones (RCE), robo de credenciales y posible acceso lateral a sistemas conectados u otros tenants.

¿Cómo funciona CVE-2026-25049?

Las vulnerabilidades provienen de un aislamiento débil del código JavaScript escrito por usuarios dentro de los flujos de trabajo de n8n.

Puntos clave:

Bypass de sandbox: el sandbox basado en AST de n8n no logra aislar completamente el código de usuario.
Error de confusión de tipos (type-confusion): investigadores de Endor Labs encontraron que el acceso a propiedades asume claves de tipo string en TypeScript, pero no se aplica en tiempo de ejecución, permitiendo ejecución arbitraria de código.
Potencial RCE: los atacantes pueden acceder al objeto global de Node.js, ejecutar comandos del sistema, leer archivos de configuración sensibles y secuestrar flujos de trabajo de IA.
Riesgo multi-tenant: en entornos clusterizados, los atacantes podrían acceder a servicios internos y datos de otros tenants.

Varias firmas de seguridad, incluyendo Pillar Security, Endor Labs y SecureLayer7, confirmaron la gravedad y publicaron pruebas de concepto que demuestran la completa compromisión del servidor.

Saber Más..

Cronología de la vulnerabilidad

20 Dic 2025: CVE-2025-68613 parcheado.
21 Dic 2025: Pillar Security demuestra bypass del sandbox en n8n.
23 Dic 2025: n8n lanza una solución parcial.
30 Dic 2025: Se confirman bypass adicionales.
12 Ene 2026: n8n publica versión 2.4.0, abordando CVE-2026-25049.
Versiones actuales: 1.123.17 y 2.5.2 están completamente parchadas.

Medidas recomendadas

Para proteger tu instancia de n8n:

Actualizar inmediatamente: Actualiza a n8n 1.123.17 o 2.5.2.
Rotar claves y credenciales: Cambia N8N_ENCRYPTION_KEY y todas las credenciales almacenadas.
Restringir la edición de flujos: Solo permite que usuarios totalmente confiables creen o editen flujos.
Endurecer tu entorno: Ejecuta n8n con privilegios limitados del sistema operativo y limita el acceso de red para reducir exposición.
Auditar flujos de trabajo existentes: Revisa expresiones sospechosas que puedan indicar intentos de explotación.

Aunque no hay exploits públicos confirmados hasta ahora, los investigadores advierten que atacantes ya están escaneando endpoints n8n expuestos, especialmente tras la vulnerabilidad Ni8mare (CVE-2026-21858), lo que indica potencial interés de actores maliciosos.

¿Por qué es importante tomar estas medidas de seguridad?

La creciente popularidad de n8n lo convierte en un objetivo prioritario para atacantes, especialmente en escenarios de automatización y flujos de trabajo de IA.

Sin actualización inmediata y mitigaciones, cualquier usuario autenticado podría comprometer servidores completos y servicios conectados.

Los administradores deben tratar este problema como alta prioridad, aplicando actualizaciones, auditando flujos y revisando configuraciones del servidor.

¿Cómo funciona CVE-2026-25049?

Cronología de la vulnerabilidad

Medidas recomendadas

¿Por qué es importante tomar estas medidas de seguridad?

🔥 LO MÁS VISTO DE ESTA CATEGORÍA