Facebook Instagram Linkedin X-twitter
C/Zaplana, 11 - Entlo. Yecla, Murcia (30510)

Vulnerabilidades y Avisos de Seguridad: Múltiples vulnerabilidades en n8n

In Noticias y Avisos CiberseguridadPosted

Múltiples vulnerabilidades en n8n

Aviso
Recursos Afectados
  • Versiones anteriores a 2.4.8;
  • Versiones anteriores a 1.118.0;
  • Versiones desde la 2.0.0 hasta la 2.5.0;
  • Versiones anteriores a la 1.123.18.
Descripción

Varios investigadores han informado sobre 4 vulnerabilidades críticas que, en caso de ser explotadas podrían permitir ejecución de código remoto, comandos arbitrarios, obtener datos críticos de configuración y credenciales de usuario.

Identificador
INCIBE-2026-092

Solución

Actualizar a las versiones correspondientes:

  • 2.4.8;
  • 1.118.0;
  • 2.5.0;
  • 1.123.18.
Detalle
  • CVE-2026-25115: vulnerabilidad en el nodo de código Python permite a los usuarios autenticados salir del entorno sandbox de Python y ejecutar código fuera del límite de seguridad previsto.
  • CVE-2026-25056: vulnerabilidad en el modo de consulta SQL del nodo Merge permitía a usuarios autenticados con permiso para crear o modificar flujos de trabajo escribir archivos arbitrarios en el sistema de archivos del servidor n8n, lo que potencialmente podía conducir a la ejecución remota de código.
  • CVE-2026-25053: vulnerabilidad en el nodo Git permitían a usuarios autenticados con permiso para crear o modificar flujos de trabajo ejecutar comandos de sistema arbitrarios o leer archivos arbitrarios en el host n8n.
  • CVE-2026-25052: vulnerabilidad en los controles de acceso a archivos permite a usuarios autenticados con permiso para crear o modificar flujos de trabajo y leer archivos confidenciales del sistema host n8n. Esto puede explotarse para obtener datos críticos de configuración y credenciales de usuario, lo que puede llevar al robo total de la cuenta de cualquier usuario de la instancia.
5 – Crítica
Listado de referencias
n8n has a Python sandbox escape
n8n Merge Node has Arbitrary File Write leading to RCE
n8n has OS Command Injection in Git Node
n8n’s Improper File Access Controls Allow Arbitrary File Read by Authenticated Users

CVE
Identificador CVE Severidad Explotación Fabricante
CVE-2026-25115 Crítica No n8n
CVE-2026-25056 Crítica No n8n
CVE-2026-25053 Crítica No n8n
CVE-2026-25052 Crítica No n8n

Fuente: link

Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen.

TechConsulting muestra este contenido por creer en su fuente y como servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.

Para más información o dudas en Ciberseguridad aplicada a la empresa, puede ver nuestro catálogo de productos en Servicios TechConsulting o puede contactar con nosotros para resolver cualquier cuestión que pueda tener.