Ejecución remota de código en el nodo Merge del modo AlaSQL SQL de n8n
Las siguientes versiones de n8n están afectadas:
- 2.14.0;
- Versiones comprendidas entre 2.0.0-rc.0 y 2.13.3;
- Todas las versiones anteriores a 1.123.27.
duddnr0615k, simonkoeck, corydoras y nil340 han informado sobre 1 vulnerabilidad de severidad crítica que, en caso de ser explotada, podría permitir a atacantes acceder a archivos confidenciales en el servidor o incluso comprometer la instancia.
Se recomienda actualizar a una de las siguientes respectivas versiones: 2.14.1, 2.13.3, 1.123.27. Si no se puede actualizar se aconseja aplicar las medidas de mitigación descritas en los enlaces de las referencias.
CVE-2026-33660: vulnerabilidad de ejecución remota de código en el nodo Merge del modo AlaSQL SQL. La vulnerabilidad se debe a que el entorno aislado de AlaSQL no restringe suficientemente ciertas sentencias SQL, lo cual podría permitir a usuarios autenticados, con permisos para crear o modificar flujos de trabajo en el nodo, leer archivos locales en el host n8n y lograr la ejecución remota de código.
| Identificador CVE | Severidad | Explotación | Fabricante |
|---|---|---|---|
| CVE-2026-33660 | Crítica | No | n8n |
Fuente: link
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen.
TechConsulting muestra este contenido por creer en su fuente y como servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.
Para más información o dudas en Ciberseguridad aplicada a la empresa, puede ver nuestro catálogo de productos en Servicios TechConsulting o puede contactar con nosotros para resolver cualquier cuestión que pueda tener.