La plataforma de automatización de flujo de trabajo de código abierto n8n advirtió sobre una falla de seguridad de alta gravedad que, si se explota con éxito, podría conducir a la ejecución remota de código (RCE) autenticado.
La vulnerabilidad a la que se asignó el identificador CVE CVE-2026-21877tiene una calificación de 10.0 en el sistema de calificación CVSS.
“Bajo ciertas condiciones, un usuario autenticado puede hacer que el servicio n8n ejecute código que no es de confianza”, dijo n8n en un aviso publicado el martes. “Esto podría llevar a un compromiso total de la instancia afectada”.
Los mantenedores dijeron que tanto las implementaciones autohospedadas como las instancias de nube n8n se vieron afectadas. El problema afecta a las siguientes versiones:
El problema se resolvió en la versión 1.121.3 lanzada en noviembre de 2025. Al investigador de seguridad Théo Lelasseux (@theolelasseux) se le atribuye haber descubierto e informado la falla.
Se recomienda a los usuarios actualizar a esta versión o posterior para resolver completamente la vulnerabilidad de seguridad. Si no es posible aplicar parches de inmediato, es importante que los administradores limiten la exposición deshabilitando el nodo Git y restringiendo el acceso a usuarios que no sean de confianza.
La divulgación se produce cuando n8n ha solucionado un flujo constante de fallas críticas en la plataforma (CVE-2025-68613 y CVE-2025-68668, puntuaciones CVSS: 9,9) que podrían conducir a la ejecución de código bajo ciertas condiciones.
About The Author
