{"id":222,"date":"2026-03-11T16:11:16","date_gmt":"2026-03-11T16:11:16","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/11\/defectos-criticos-de-n8n-permiten-la-ejecucion-remota-de-codigo-y-la-exposicion-de-credenciales-almacenadas-cyberdefensa-mx\/"},"modified":"2026-03-11T16:11:16","modified_gmt":"2026-03-11T16:11:16","slug":"defectos-criticos-de-n8n-permiten-la-ejecucion-remota-de-codigo-y-la-exposicion-de-credenciales-almacenadas-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/11\/defectos-criticos-de-n8n-permiten-la-ejecucion-remota-de-codigo-y-la-exposicion-de-credenciales-almacenadas-cyberdefensa-mx\/","title":{"rendered":"Defectos cr\u00edticos de n8n permiten la ejecuci\u00f3n remota de c\u00f3digo y la exposici\u00f3n de credenciales almacenadas \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"<div id=\"articlebody\">\n<p>Investigadores de ciberseguridad han revelado detalles de dos fallas de seguridad ahora parcheadas en la plataforma de automatizaci\u00f3n de flujo de trabajo n8n, incluidos dos errores cr\u00edticos que podr\u00edan resultar en la ejecuci\u00f3n de comandos arbitrarios.<\/p>\n<p>Las vulnerabilidades se enumeran a continuaci\u00f3n:<\/p>\n<ul>\n<li><strong><a href=\"https:\/\/github.com\/n8n-io\/n8n\/security\/advisories\/GHSA-vpcf-gvg4-6qwr\" rel=\"noopener\" target=\"_blank\">CVE-2026-27577<\/a><\/strong>  (Puntuaci\u00f3n CVSS: 9,4) \u2013 Escape de la zona de pruebas de expresi\u00f3n que conduce a la ejecuci\u00f3n remota de c\u00f3digo (RCE)<\/li>\n<li><strong><a href=\"https:\/\/github.com\/n8n-io\/n8n\/security\/advisories\/GHSA-75g8-rv7v-32f7\" rel=\"noopener\" target=\"_blank\">CVE-2026-27493<\/a><\/strong>  (Puntuaci\u00f3n CVSS: 9,5) \u2013 Evaluaci\u00f3n de expresiones no autenticadas a trav\u00e9s de los nodos de formulario de n8n<\/li>\n<\/ul>\n<p>\u00abCVE-2026-27577 es un escape de espacio aislado en el compilador de expresiones: un caso faltante en la reescritura de AST permite que el proceso se escape sin transformar, dando a cualquier expresi\u00f3n autenticada un RCE completo\u00bb, dijo Eilon Cohen, investigador de Pillar Security, quien descubri\u00f3 e inform\u00f3 los problemas, <a href=\"https:\/\/www.pillar.security\/blog\/zero-click-unauthenticated-rce-in-n8n-a-contact-form-that-executes-shell-commands\" rel=\"noopener\" target=\"_blank\">dicho<\/a> en un informe compartido con The Hacker News.<\/p>\n<div class=\"dog_two clear\">\n<div class=\"cf\"><a href=\"https:\/\/thehackernews.uk\/not-fast-enough-d\" rel=\"nofollow noopener sponsored\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEhlXM830ruQd2xT6M7JNeNRjaFa1onD12WjSCHihTFMTzbyfT9h-irPmXy_h3E1HGSs6sdv7FTmnyNVTM5kmSb7BuUtZe8gKoTQt99P1sSzRcqqXpOJP6eoAOhR3DGb6qHx9kOZ_HBZUMmVnsnd0DM7QfUp81bgzTvvgLww6oqB-EhnDfWXH5pWCYhAsyLs\/s728-e100\/tl-d.jpg\" width=\"729\" height=\"91\"\/><\/a><\/div>\n<\/div>\n<p>La empresa de ciberseguridad describi\u00f3 CVE-2026-27493 como un \u00aberror de doble evaluaci\u00f3n\u00bb en los nodos de formulario de n8n del que se podr\u00eda abusar para la inyecci\u00f3n de expresiones aprovechando el hecho de que los puntos finales del formulario son p\u00fablicos por dise\u00f1o y no requieren autenticaci\u00f3n ni una cuenta de n8n.<\/p>\n<p>Todo lo que se necesita para una explotaci\u00f3n exitosa es aprovechar un formulario p\u00fablico \u00abCont\u00e1ctenos\u00bb para ejecutar comandos de shell arbitrarios simplemente proporcionando una carga \u00fatil como entrada en el campo Nombre.<\/p>\n<p>En un aviso publicado a finales del mes pasado, n8n dijo que CVE-2026-27577 podr\u00eda ser utilizado como arma por un usuario autenticado con permiso para crear o modificar flujos de trabajo para desencadenar la ejecuci\u00f3n involuntaria de comandos del sistema en el host que ejecuta n8n a trav\u00e9s de expresiones dise\u00f1adas en los par\u00e1metros del flujo de trabajo.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a href=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEikVLx0cfKQLD34PZ2yoj-CYprRJ_mQkkAB_D2Y5H8_Vw0NM24o_7OxpYSbyp12BzYTFulE5SozgsOwC7_u2Sc4FL9ZWw9slrNxc6Tcuhcf7SzvqOesGDb1_wQEyF8CebGB77mhZBYukY7sqBcSsRHH5wXidkEFDWJEPPrZuoYXBsyq5pH0DJ18166hoWb0\/s1700-e365\/para.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEikVLx0cfKQLD34PZ2yoj-CYprRJ_mQkkAB_D2Y5H8_Vw0NM24o_7OxpYSbyp12BzYTFulE5SozgsOwC7_u2Sc4FL9ZWw9slrNxc6Tcuhcf7SzvqOesGDb1_wQEyF8CebGB77mhZBYukY7sqBcSsRHH5wXidkEFDWJEPPrZuoYXBsyq5pH0DJ18166hoWb0\/s1700-e365\/para.png\" alt=\"\" border=\"0\" data-original-height=\"574\" data-original-width=\"1046\"\/><\/a><\/div>\n<p>N8n tambi\u00e9n se\u00f1al\u00f3 que CVE-2026-27493, cuando se encadena con una expresi\u00f3n de escape de espacio aislado como CVE-2026-27577, podr\u00eda \u00abescalar a la ejecuci\u00f3n remota de c\u00f3digo en el host n8n\u00bb. Ambas vulnerabilidades afectan las implementaciones autohospedadas y en la nube de n8n.<\/p>\n<ul>\n<li>&lt; 1.123.22, &gt;= 2.0.0 &lt; 2.9.3 y &gt;= 2.10.0 &lt; 2.10.1 &#8211; Corregido en las versiones 2.10.1, 2.9.3 y 1.123.22<\/li>\n<\/ul>\n<p>Si el parche inmediato de CVE-2026-27577 no es una opci\u00f3n, se recomienda a los usuarios que limiten la creaci\u00f3n de flujos de trabajo y los permisos de edici\u00f3n a usuarios de plena confianza e implementen n8n en un entorno reforzado con privilegios de sistema operativo y acceso a la red restringidos.<\/p>\n<p>En cuanto a CVE-2026-27493, n8n recomienda las siguientes mitigaciones:<\/p>\n<ul>\n<li>Revise el uso de nodos de formulario manualmente para conocer las condiciones previas mencionadas anteriormente.<\/li>\n<li>Deshabilite el nodo Formulario agregando n8n-nodes-base.form a la variable de entorno NODES_EXCLUDE.<\/li>\n<li>Deshabilite el nodo Activador de formulario agregando n8n-nodes-base.formTrigger a la variable de entorno NODES_EXCLUDE.<\/li>\n<\/ul>\n<p>\u00abEstas soluciones no solucionan completamente el riesgo y s\u00f3lo deben usarse como medidas de mitigaci\u00f3n a corto plazo\u00bb, advirtieron quienes los mantuvieron.<\/p>\n<p>Pillar Security dijo que un atacante podr\u00eda aprovechar estas fallas para leer la variable de entorno N8N_ENCRYPTION_KEY y usarla para descifrar cada credencial almacenada en la base de datos de n8n, incluidas las claves de AWS, las contrase\u00f1as de la base de datos, los tokens de OAuth y las claves de API.<\/p>\n<div class=\"dog_two clear\">\n<div class=\"cf\"><a href=\"https:\/\/thehackernews.uk\/cyber-comm-guide-d\" rel=\"nofollow noopener sponsored\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEigDbfWwE4P_DsjfBRxgecgosqTRr8-2j328LrzdUBWrWmWeDUTI7OhXc-zXveYOjBc7GStGz5WnpXsJGaLCuoryIXbL7NxRyaWzIJGO1TBpd48NkYzNqTMj9zWMzgfvqh20RxsdMll45TFiMzXja0pAd7roFjMnzsRYBGHOWSLnyKN-oMKyCLoYcjmb5hm\/s728-e100\/ciso-d.jpg\" width=\"729\" height=\"91\"\/><\/a><\/div>\n<\/div>\n<p>Las versiones 2.10.1, 2.9.3 y 1.123.22 de N8n tambi\u00e9n resuelven dos vulnerabilidades cr\u00edticas m\u00e1s de las que tambi\u00e9n se podr\u00eda abusar para lograr la ejecuci\u00f3n de c\u00f3digo arbitrario:<\/p>\n<ul>\n<li><strong><a href=\"https:\/\/github.com\/n8n-io\/n8n\/security\/advisories\/GHSA-jjpj-p2wh-qf23\" rel=\"noopener\" target=\"_blank\">CVE-2026-27495<\/a><\/strong>  (Puntuaci\u00f3n CVSS: 9,4): un usuario autenticado con permiso para crear o modificar flujos de trabajo podr\u00eda aprovechar una vulnerabilidad de inyecci\u00f3n de c\u00f3digo en el entorno limitado de JavaScript Task Runner para ejecutar c\u00f3digo arbitrario fuera de los l\u00edmites del entorno limitado.<\/li>\n<li><strong><a href=\"https:\/\/github.com\/n8n-io\/n8n\/security\/advisories\/GHSA-wxx7-mcgf-j869\" rel=\"noopener\" target=\"_blank\">CVE-2026-27497<\/a><\/strong>  (Puntuaci\u00f3n CVSS: 9,4): un usuario autenticado con permiso para crear o modificar flujos de trabajo podr\u00eda aprovechar el modo de consulta SQL del nodo Merge para ejecutar c\u00f3digo arbitrario y escribir archivos arbitrarios en el servidor n8n.<\/li>\n<\/ul>\n<p>Adem\u00e1s de limitar los permisos de creaci\u00f3n y edici\u00f3n del flujo de trabajo a usuarios confiables, n8n ha descrito las siguientes soluciones para cada falla:<\/p>\n<ul>\n<li><strong>CVE-2026-27495<\/strong> \u2013 Utilice el modo de corredor externo (N8N_RUNNERS_MODE=externo) para limitar el radio de explosi\u00f3n.<\/li>\n<li><strong>CVE-2026-27497<\/strong> \u2013 Deshabilite el nodo Merge agregando n8n-nodes-base.merge a la variable de entorno NODES_EXCLUDE.<\/li>\n<\/ul>\n<p>Si bien n8n no menciona ninguna de estas vulnerabilidades que se est\u00e9n explotando en la naturaleza, se recomienda a los usuarios que mantengan sus instalaciones actualizadas para una protecci\u00f3n \u00f3ptima.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>Investigadores de ciberseguridad han revelado detalles de dos fallas de seguridad ahora parcheadas en la plataforma de automatizaci\u00f3n de flujo de trabajo n8n, incluidos dos errores cr\u00edticos que podr\u00edan resultar en la ejecuci\u00f3n de comandos arbitrarios. Las vulnerabilidades se enumeran a continuaci\u00f3n: CVE-2026-27577 (Puntuaci\u00f3n CVSS: 9,4) \u2013 Escape de la zona de pruebas de expresi\u00f3n [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":108,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[768,376,469,137,24,495,766,522,764,765,767],"class_list":["post-222","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-almacenadas","tag-codigo","tag-credenciales","tag-criticos","tag-cyberdefensa-mx","tag-defectos","tag-ejecucion","tag-exposicion","tag-n8n","tag-permiten","tag-remota"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/222","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=222"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/222\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/108"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=222"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=222"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=222"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}