enero 14, 2026
flaw-n8n.jpg

6 de enero de 2026Ravie LakshmananVulnerabilidad/DevOps

Se ha descubierto una nueva vulnerabilidad crítica en n8n, una plataforma de automatización de flujo de trabajo de código abierto, que podría permitir a un atacante autenticado ejecutar comandos arbitrarios del sistema en el host subyacente.

La vulnerabilidad, rastreada como CVE-2025-68668tiene una calificación de 9,9 en el sistema de calificación CVSS. Se ha descrito un caso de fallo del mecanismo de protección.

Afecta a las versiones 1.0.0 a 2.0.0 inclusive de n8n y permite a un usuario autenticado con permiso crear o modificar flujos de trabajo para ejecutar cualquier comando del sistema operativo en el host que ejecuta n8n. El problema se solucionó en la versión 2.0.0.

“Existe una vulnerabilidad de omisión de sandbox en el nodo de código Python que usa Pyodide”, se lee en una nota sobre la falla. “Un usuario autenticado con permiso para crear o modificar flujos de trabajo podría aprovechar esta vulnerabilidad para ejecutar comandos arbitrarios en el sistema host que ejecuta n8n utilizando los mismos privilegios que el proceso n8n”.

Ciberseguridad

N8n dijo que introdujo una implementación nativa de Python basada en un ejecutor de tareas en la versión 1.111.0 como una característica opcional para mejorar el aislamiento de seguridad. La función se puede habilitar configurando las variables de entorno N8N_RUNNERS_ENABLED y N8N_NATIVE_PYTHON_RUNNER. Con el lanzamiento de la versión 2.0.0, la implementación se convirtió en estándar.

Para solucionar este problema, n8n recomienda a los usuarios seguir los pasos que se describen a continuación:

  • Deshabilite el nodo de código configurando la variable de entorno NODES_EXCLUDE: “(\”n8n-nodes-base.code\”)”
  • Deshabilite la compatibilidad con Python en el nodo Código configurando la variable de entorno N8N_PYTHON_ENABLED=false
  • Configure n8n para usar el entorno limitado de Python basado en el ejecutor de tareas a través de las variables de entorno N8N_RUNNERS_ENABLED y N8N_NATIVE_PYTHON_RUNNER

La divulgación se produce cuando n8n ha solucionado otra vulnerabilidad crítica (CVE-2025-68613, puntuación CVSS: 9,9) que podría provocar la ejecución de código arbitrario en determinadas circunstancias.

About The Author

desafiomayor

See author's posts

Related News

payment.png

Una campaña de skimming web de larga duración roba tarjetas de crédito de sitios de pago en línea

enero 14, 2026 0
mexc.jpg

La extensión maliciosa de Chrome roba claves API de MEXC haciéndose pasar por una herramienta comercial

enero 14, 2026 0

You may have missed

nyt-word-games-connections-2798.jpg

Pistas y respuestas de NYT Connections de hoy para el 14 de enero #948

enero 14, 2026 0
wordle-word-game-hints-puzzle-8667.jpg

Pistas, respuestas y ayuda del NYT Wordle de hoy para el 14 de enero #1670

enero 14, 2026 0
Washington-capitol-building-1260x945.jpg

El proyecto de ley del estado de Washington apunta a los listados de bienes raíces privados y requeriría comercialización pública

enero 14, 2026 0
waymo-ces-2026.jpg

El gobernador de Nueva York está allanando el camino para los taxis robot en todas partes, con una notable excepción

enero 14, 2026 0
roblox_1.jpg

Según se informa, el sistema de verificación de edad de Roblox es un desastre

enero 14, 2026 0
Screenshot_2026-01-13_at_13.25.49.png

Instagram quiere que personalices tu algoritmo de Reels para 2026

enero 14, 2026 0