Hay diversas herramientas para automatizar flujos de trabajo que pueden ser muy útiles para optimizar el tiempo y facilitar tareas diarias en las empresas. Una de las más reconocidas y de código abierto es n8n. Esta herramienta es ideal para simplificar flujos de trabajo complicados y disminuir la carga operativa. Su capacidad de integración con diferentes sistemas es notable, aunque esto también representa un riesgo considerable. En este contexto, abordamos una vulnerabilidad reciente.
La vulnerabilidad en cuestión es la CVE-2026-21877, que fue publicada en la página de CVE el 8 de enero de 2026. El INCIBE, Instituto Nacional de Ciberseguridad de España, ha emitido una alerta sobre este fallo, catalogado como crítico.
Fallo crítico en n8n
Recientemente, n8n ha informado sobre un fallo de seguridad altamente grave que podría permitir a atacantes autenticados ejecutar código de manera arbitraria en las instancias afectadas. Medios especializados, como SOCRadar, han destacado este problema, que podría impactar a un gran número de usuarios.
Esta vulnerabilidad afecta tanto a implementaciones autoalojadas como a n8n Cloud. Aunque ya se ha lanzado una corrección, muchas organizaciones aún operan con versiones vulnerables. Por lo tanto, es crucial aplicar todas las actualizaciones y resolver estos problemas de seguridad.
La vulnerabilidad CVE-2026-21877 ha recibido una calificación de 10.0 en la escala CVSS. Esto indica que se trata de un fallo crítico, que permite la ejecución remota de código autenticada. Un usuario legítimo podría abusar del funcionamiento de la aplicación, lo que podría permitir que el servicio n8n ejecute código no confiable. Esto, a su vez, facilitaría que un atacante tome control total de la instancia de automatización afectada.
Detalles técnicos de la vulnerabilidad
| Atributo Técnico | Valor | Fuente |
|---|---|---|
| Identificador CVE | CVE-2026-21877 | CVE.org / NVD |
| Puntuación CVSS v3.1 | 10.0 (CRÍTICO) | NVD |
| Vector CVSS | AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H | CVE.org |
| Tipo de Fallo | Ejecución Remota de Código (RCE) Autenticada | SOCRadar |
| Versiones Afectadas | Desde 0.123.0 hasta 1.121.2 | n8n Security Advisory |
| Versión Corregida | 1.121.3 y posteriores | GitHub Release Notes |
La calificación de esta vulnerabilidad como crítica se debe a varios factores, como la baja complejidad del ataque, la explotación basada en la red y los requisitos mínimos de privilegios. También se debe al alto impacto que puede tener en la confidencialidad, integridad y disponibilidad.
Si un atacante logra explotar este fallo, podría:
- Ejecutar comandos a nivel de sistema en el servidor n8n.
- Acceder a las credenciales guardadas en flujos de trabajo o variables de entorno.
- Modificar o interrumpir procesos de negocio automatizados.
- Interactuar con otros sistemas internos conectados mediante integraciones de n8n.
Otras vulnerabilidades previas
Es importante señalar que esta vulnerabilidad no es un caso aislado. Anteriormente, se han reportado otros problemas críticos que han afectado a n8n, como los fallos CVE-2025-68668 (ejecución de comandos en el nodo de código Python) y CVE-2025-68613 (RCE). El primero obtuvo una puntuación de 9.9 en la escala CVSS, mientras que el segundo tuvo una puntuación de 8.8.
Los expertos en ciberseguridad advierten que, dado que estas herramientas manejan cada vez más credenciales, API y lógica de negocio, es fundamental mantenerlas actualizadas para asegurar la infraestructura.
Esta vulnerabilidad no requiere interacción del usuario más allá de la autenticación, lo que agrava el problema y justifica su calificación de gravedad crítica. Una vez que un atacante tiene acceso, la explotación de este fallo puede ocurrir de manera silenciosa, sin que la víctima se dé cuenta.
La vulnerabilidad CVE-2026-21877 afecta a las versiones de n8n desde 0.123.0 hasta antes de 1.121.3. Por lo tanto, es esencial asegurarse de tener una versión más reciente para evitar este problema. La versión 1.121.3 está disponible desde noviembre, así que verifica que tus sistemas estén actualizados.
Preguntas frecuentes
¿Qué versiones de n8n están afectadas?
Todas las versiones desde la 0.123.0 hasta antes de la 1.121.3 están afectadas.
¿Hay solución disponible?
Sí, hay actualizaciones disponibles desde noviembre de 2025. Debes tener instalada, al menos, la versión 1.121.3.
¿Qué puede hacer un atacante si explota este fallo?
Un atacante podría tener control total de la instancia de n8n, ejecutar comandos en el sistema, acceder a credenciales almacenadas y modificar flujos de trabajo.
