Vulnerabilitat n8n CVE-2026-25049
Una vulnerabilitat de seguretat recentment revelada a la plataforma d'automatització del flux de treball n8n permet l'execució arbitrària d'ordres del sistema sota certes condicions. La falla està registrada com a CVE-2026-25049 i té una puntuació CVSS de 9,4, cosa que reflecteix la seva gravetat crítica. Si s'explota amb èxit, el problema permet als atacants executar ordres a nivell de sistema al servidor que allotja n8n.
Taula de continguts
Eviteu una vulnerabilitat prèviament aplicada amb pegats
La CVE-2026-25049 prové d'una higienització insuficient que ignora les proteccions introduïdes per solucionar la CVE-2025-68613 (CVSS 9.9), una vulnerabilitat crítica aplicada el desembre de 2025. Anàlisis posteriors han demostrat que la nova CVE és, de fet, una manera d'evitar la correcció original en lloc d'un problema completament diferent. Els investigadors han demostrat que ambdues fallades permeten als atacants escapar de la zona de proves d'expressions de n8n i eludir els controls de seguretat existents. Després de la divulgació anterior, també es van identificar i abordar debilitats addicionals en l'avaluació d'expressions.
Requisits previs d’atac i mecàniques d’explotació
Qualsevol usuari autenticat amb permís per crear o modificar fluxos de treball pot explotar la vulnerabilitat. En injectar expressions creades als paràmetres del flux de treball, és possible desencadenar l'execució no intencionada d'ordres del sistema. Un escenari particularment perillós implica la creació d'un flux de treball que exposa un webhook d'accés públic sense autenticació. En incrustar una sola línia de JavaScript mitjançant una sintaxi de desestructuració, els atacants poden fer que el flux de treball executi ordres del sistema. Un cop activat aquest flux de treball, qualsevol tercer pot desencadenar el webhook i executar ordres de forma remota.
La gravetat augmenta encara més quan es combina amb la funcionalitat webhook de n8n, que permet que els fluxos de treball maliciosos s'exposin públicament. En aquests casos, l'explotació no requereix privilegis elevats més enllà de la creació del flux de treball, cosa que subratlla el risc resumit pels investigadors com: si es permet la creació del flux de treball, es pot aconseguir un compromís complet del servidor.
Causa principal: llacunes en l’aplicació de tipus i abús en temps d’execució
La vulnerabilitat sorgeix de llacunes en els mecanismes de sanejament d'n8n i d'una discrepància fonamental entre el sistema de tipus en temps de compilació de TypeScript i el comportament en temps d'execució de JavaScript. Tot i que TypeScript aplica restriccions de tipus durant la compilació, no pot garantir aquestes restriccions per als valors controlats per l'atacant introduïts en temps d'execució. En proporcionar valors que no siguin de cadena, com ara objectes o matrius, els atacants poden eludir la lògica de sanejament que assumeix una entrada només de cadena, neutralitzant eficaçment els controls de seguretat crítics.
Impacte potencial en sistemes i dades
Una explotació reeixida pot conduir a un compromís complet del servidor. Els atacants podrien robar credencials, exfiltrar dades sensibles, accedir al sistema de fitxers i als serveis interns, pivotar cap a entorns de núvol connectats i segrestar fluxos de treball d'intel·ligència artificial. La capacitat d'instal·lar portes del darrere persistents augmenta encara més el risc d'accés encobert a llarg termini.
Versions afectades i guia de mitigació
La vulnerabilitat afecta les versions de n8n anteriors a les versions amb pegats i es va descobrir amb la contribució de deu investigadors de seguretat independents. Les versions següents es veuen afectades, juntament amb les mitigacions provisionals recomanades quan l'aplicació immediata de pegats no és factible:
Versions afectades: versions n8n anteriors a la 1.123.17 i la 2.5.2, on s'han publicat correccions.
Mitigacions recomanades: restringir la creació i l'edició del flux de treball a usuaris de confiança completa i implementar n8n en un entorn reforçat amb privilegis de sistema operatiu restringits i accés a la xarxa limitat.
Aquest problema posa de manifest la necessitat d'estratègies de validació per capes. Les garanties en temps de compilació s'han de complementar amb comprovacions estrictes en temps d'execució, especialment quan es gestiona una entrada no fiable. Les revisions de codi s'han de centrar en les rutines de sanejament i evitar suposicions sobre els tipus d'entrada que no s'apliquen en temps d'execució.
Vulnerabilitats addicionals d’alta gravetat de l’N8N
Juntament amb CVE-2026-25049, n8n ha publicat avisos per a quatre fallades de seguretat addicionals, dues de les quals estan qualificades com a crítiques:
CVE-2026-25053 (CVSS 9.4) : Injecció d'ordres del sistema operatiu al node Git, que permet als usuaris autenticats amb permisos de flux de treball executar ordres o llegir fitxers arbitraris; corregit a les versions 2.5.0 i 1.123.10.
CVE-2026-25054 (CVSS 8.5) : Vulnerabilitat de scripts entre llocs emmagatzemada en un component de renderització de markdown, que permet l'execució de scripts amb privilegis del mateix origen i una possible presa de control del compte; corregida a les versions 2.2.1 i 1.123.9.
CVE-2026-25055 (CVSS 7.1) : Problema de travessia de ruta al node SSH que pot provocar escriptures de fitxers en ubicacions no desitjades i possible execució remota de codi en sistemes de destinació; corregit a les versions 2.4.0 i 1.123.12.
CVE-2026-25056 (CVSS 9.4) : Vulnerabilitat d'escriptura arbitrària de fitxers en el mode de consulta SQL del node Merge, que pot provocar l'execució remota de codi; corregit a les versions 2.4.0 i 1.118.0.
Actualització urgent per reduir el risc
Atesa l'amplitud i la gravetat de les vulnerabilitats identificades, es recomana fermament actualitzar les implementacions de n8n a les darreres versions disponibles. L'aplicació ràpida de pegats continua sent la defensa més eficaç contra l'explotació i el posterior compromís.
