Tecnología

EDR NEWS te informa: New n8n Vulnerability (9.9 CVSS) Lets Authenticated Users Execute System Commands

Publicado en por edradmin
EDR NEWS te informa: New n8n Vulnerability (9.9 CVSS) Lets Authenticated Users Execute System Commands
06
Ene

06 de enero de 2026Ravie LakshmananVulnerabilidad/DevOps

Se ha revelado una nueva vulnerabilidad de seguridad crítica en n8n, una plataforma de automatización de flujo de trabajo de código abierto, que podría permitir a un atacante autenticado ejecutar comandos arbitrarios del sistema en el host subyacente.

La vulnerabilidad, rastreada como CVE-2025-68668tiene una calificación de 9,9 en el sistema de puntuación CVSS. Se ha descrito como un caso de fallo del mecanismo de protección.

Afecta a las versiones de n8n desde 1.0.0 hasta la 2.0.0, pero no incluida, y permite a un usuario autenticado con permiso crear o modificar flujos de trabajo para ejecutar comandos arbitrarios del sistema operativo en el host que ejecuta n8n. El problema se solucionó en la versión 2.0.0.

«Existe una vulnerabilidad de omisión de sandbox en el nodo de código Python que usa Pyodide», un aviso sobre la falla estados. «Un usuario autenticado con permiso para crear o modificar flujos de trabajo puede aprovechar esta vulnerabilidad para ejecutar comandos arbitrarios en el sistema host que ejecuta n8n, utilizando los mismos privilegios que el proceso n8n».

Ciberseguridad

N8n dijo que había introducido Implementación nativa de Python basada en el ejecutor de tareas en la versión 1.111.0 como característica opcional para mejorar el aislamiento de seguridad. La función se puede habilitar configurando las variables de entorno N8N_RUNNERS_ENABLED y N8N_NATIVE_PYTHON_RUNNER. Con el lanzamiento de la versión 2.0.0, la implementación pasó a ser la predeterminada.

Como solución alternativa, n8n recomienda que los usuarios sigan los pasos que se describen a continuación:

  • Deshabilite el nodo de código configurando la variable de entorno NODES_EXCLUDE: «[\»n8n-nodes-base.code\»]»
  • Deshabilite la compatibilidad con Python en el nodo Código configurando la variable de entorno N8N_PYTHON_ENABLED=false
  • Configure n8n para usar el entorno limitado de Python basado en el ejecutor de tareas a través de las variables de entorno N8N_RUNNERS_ENABLED y N8N_NATIVE_PYTHON_RUNNER

La divulgación se produce cuando n8n abordó otra vulnerabilidad crítica (CVE-2025-68613puntuación CVSS: 9,9) que podría dar lugar a la ejecución de código arbitrario en determinadas circunstancias.


Fuente

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *